请问 OD 中 HEX值和反汇编的代码有什么关系-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
追风傲雪雪币： 259 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 170 粉丝 0 关注私信	追风傲雪 2 楼 call dword ptr [00000000] 如果地址00000000不在.text段，要显式指明段寄存器 2009-11-18 17:52 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 3 楼举个例子就明白了：地址00401000开始，有机器码 E8 02000000 这句话是call XXXXXXXX XXXXXXXX怎么计算呢。系统就这样计算 XXXXXXXX=00401000h+5h(下个指令在内存中的偏移)+00000002h=00401007h。那在地址00401000处call 00400FEE的机器码是什么呢。就是 E8 E9FFFFFF 系统会算 00400FEE（XXXXXXXX）=00401000+5h(下个指令在内存中的偏移)+（-17h）. 所以楼主我想通过修改地址004023AD 的值直接得到 call 00000000 要怎么办？直接在地址004023AD（存储的是字节E8吧），后4个字节机器码改写为 3FDCBFFF(已考虑高低位) 注意 call 00000000 与call dword ptr[00000000]机器码是不同的，call dword ptr[00000000] 人为很容易看出机器码。 2009-11-18 17:54 0
破解儿童雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	破解儿童 4 楼谢谢怀特迈恩因为第一次发贴贴已经结不知道怎么补分给你实在不好意思 2009-11-18 18:05 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 5 楼没事，水平有限，能帮到人就很高兴啦 2009-11-18 18:15 0
落寒雪币： 156 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	落寒 6 楼 call和jmp指令后的操作数不是绝对地址，是相对的偏移地址，所以你想call在0x00000000地址的指令的话要计算0x00000000相对call指令所在地址的偏移量，再加上修正。不过一般你不能call在0x00000000地址的指令，应该会引起CPU异常吧！我认为，应该只能call在0x00401000以后的地址，不知道对不对？（因为0x00401000是.text段的起始位置） 2009-11-19 13:00 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 7 楼引用：我认为，应该只能call在0x00401000以后的地址，不知道对不对？（因为0x00401000是.text段的起始位置）不是这样的。你用Virtualalloc申请内存地址，往往会申请到00401000以前的地址。我经常申请到003A0000。各种跳转都没错。 2009-11-26 22:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
追风傲雪雪币： 259 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 170 粉丝 0 关注私信	追风傲雪 2 楼 call dword ptr [00000000] 如果地址00000000不在.text段，要显式指明段寄存器 2009-11-18 17:52 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 3 楼举个例子就明白了：地址00401000开始，有机器码 E8 02000000 这句话是call XXXXXXXX XXXXXXXX怎么计算呢。系统就这样计算 XXXXXXXX=00401000h+5h(下个指令在内存中的偏移)+00000002h=00401007h。那在地址00401000处call 00400FEE的机器码是什么呢。就是 E8 E9FFFFFF 系统会算 00400FEE（XXXXXXXX）=00401000+5h(下个指令在内存中的偏移)+（-17h）. 所以楼主我想通过修改地址004023AD 的值直接得到 call 00000000 要怎么办？直接在地址004023AD（存储的是字节E8吧），后4个字节机器码改写为 3FDCBFFF(已考虑高低位) 注意 call 00000000 与call dword ptr[00000000]机器码是不同的，call dword ptr[00000000] 人为很容易看出机器码。 2009-11-18 17:54 0
破解儿童雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	破解儿童 4 楼谢谢怀特迈恩因为第一次发贴贴已经结不知道怎么补分给你实在不好意思 2009-11-18 18:05 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 5 楼没事，水平有限，能帮到人就很高兴啦 2009-11-18 18:15 0
落寒雪币： 156 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	落寒 6 楼 call和jmp指令后的操作数不是绝对地址，是相对的偏移地址，所以你想call在0x00000000地址的指令的话要计算0x00000000相对call指令所在地址的偏移量，再加上修正。不过一般你不能call在0x00000000地址的指令，应该会引起CPU异常吧！我认为，应该只能call在0x00401000以后的地址，不知道对不对？（因为0x00401000是.text段的起始位置） 2009-11-19 13:00 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 7 楼引用：我认为，应该只能call在0x00401000以后的地址，不知道对不对？（因为0x00401000是.text段的起始位置）不是这样的。你用Virtualalloc申请内存地址，往往会申请到00401000以前的地址。我经常申请到003A0000。各种跳转都没错。 2009-11-26 22:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

请问 OD 中 HEX值 和 反汇编的代码 有什么关系

请问 OD 中 HEX值和反汇编的代码有什么关系