|
[下载]《[专题四]Rootkit的学习与研究》文章整理下载
thx for share |
|
|
|
|
|
如何找一个Call的上一层Call,,,我这个比较特殊
是啊,他这么干,我就没办法知道他是从哪里跳到这个CALL了 |
|
如何找一个Call的上一层Call,,,我这个比较特殊
[QUOTE=xxxDebug;788757]那你所谓的上一层call是什么意思? 只要是Call,返回地址一定在堆栈里,你从当前esp指向的堆栈位置往上找,第一个call就是了 返回地址所在的函数就是你所谓的上一层call了 我猜测有可能是这样的情况: call dword ptr [xxxxxx...[/QUOTE] 假如是用JMP到这里的,我只要找JMP这条代码的地址就可以了 |
|
|
|
如何找一个Call的上一层Call,,,我这个比较特殊
Run跟踪嗯,是个办法,不过 这个CALL 前面有个很大的递归循环。。。。。。。。。。。。。。。 我过不了这个循环才跳到后面的这个CALL再往前分析的 |
|
如何找一个Call的上一层Call,,,我这个比较特殊
我上面说了,走到ret时,esp指向的地址是另外用代码push进去的啊 就像 push ebp move ebp esp ....... push 0x00123456 ret 这样就ret到0x00123456 所以返回的根本不是调用CALL的下一行代码地址啊 |
|
如何找一个Call的上一层Call,,,我这个比较特殊
[QUOTE=xxxDebug;788546][ebp+4]指向的内容就是这一次call的返回地址,也就是指向上一层call的下一行代码[/QUOTE] 不是啊,我的图片就是断在call的第一行啊 但是这里的esp不是返回地址啊 |
|
如何找一个Call的上一层Call,,,我这个比较特殊
难道真没办法吗? |
|
如何找一个Call的上一层Call,,,我这个比较特殊
set up do not down |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值