首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
这个内存地址是什么内容?
发表于: 2009-12-29 10:00 3272

这个内存地址是什么内容?

tomtomtom 活跃值
2009-12-29 10:00
3272
在OD里调试发现程序使用了下面的内存地址里的内容,不像是般的代码,不知是什么东西,而且程序一般是加载到004xxx这样的地址吧,为何会是00E开始的,有大大能解答一下吗?

00E69B21    0000            ADD BYTE PTR DS:[EAX],AL
00E69B23    0000            ADD BYTE PTR DS:[EAX],AL
00E69B25    0000            ADD BYTE PTR DS:[EAX],AL
00E69B27    0000            ADD BYTE PTR DS:[EAX],AL
00E69B29    0000            ADD BYTE PTR DS:[EAX],AL
00E69B2B    0000            ADD BYTE PTR DS:[EAX],AL
00E69B2D    0000            ADD BYTE PTR DS:[EAX],AL
00E69B2F    00AB ABABABAB   ADD BYTE PTR DS:[EBX+ABABABAB],CH
00E69B35    AB              STOS DWORD PTR ES:[EDI]
00E69B36    AB              STOS DWORD PTR ES:[EDI]
00E69B37    AB              STOS DWORD PTR ES:[EDI]
00E69B38    0000            ADD BYTE PTR DS:[EAX],AL
00E69B3A    0000            ADD BYTE PTR DS:[EAX],AL
00E69B3C    0000            ADD BYTE PTR DS:[EAX],AL
00E69B3E    0000            ADD BYTE PTR DS:[EAX],AL
00E69B40    07              POP ES                                   ; 段寄存器更改
00E69B41    0035 002E071C   ADD BYTE PTR DS:[1C072E00],DH
00E69B47    0113            ADD DWORD PTR DS:[EBX],EDX
00E69B49    0000            ADD BYTE PTR DS:[EAX],AL
00E69B4B    0001            ADD BYTE PTR DS:[ECX],AL
00E69B4D    ED              IN EAX,DX                                ; I/O 命令
00E69B4E    94              XCHG EAX,ESP
00E69B4F    18A7 0694B037   SBB BYTE PTR DS:[EDI+37B09406],AH
00E69B55    67:16           PUSH SS                                  ; 多余的前缀
00E69B57    EA 8823CCE1 E71>JMP FAR 15E7:E1CC2388                    ; 远跳转
00E69B5E    0AAE DB346B27   OR CH,BYTE PTR DS:[ESI+276B34DB]
00E69B64    AB              STOS DWORD PTR ES:[EDI]
00E69B65    AB              STOS DWORD PTR ES:[EDI]
00E69B66    AB              STOS DWORD PTR ES:[EDI]
00E69B67    AB              STOS DWORD PTR ES:[EDI]
00E69B68    AB              STOS DWORD PTR ES:[EDI]
00E69B69    AB              STOS DWORD PTR ES:[EDI]
00E69B6A    AB              STOS DWORD PTR ES:[EDI]
00E69B6B    AB              STOS DWORD PTR ES:[EDI]
00E69B6C    EE              OUT DX,AL                                ; I/O 命令
00E69B6D    FE              ???                                      ; 未知命令
00E69B6E    EE              OUT DX,AL                                ; I/O 命令
00E69B6F    FE00            INC BYTE PTR DS:[EAX]
00E69B71    0000            ADD BYTE PTR DS:[EAX],AL
00E69B73    0000            ADD BYTE PTR DS:[EAX],AL
00E69B75    0000            ADD BYTE PTR DS:[EAX],AL
00E69B77    0013            ADD BYTE PTR DS:[EBX],DL
00E69B79    0007            ADD BYTE PTR DS:[EDI],AL
00E69B7B    0029            ADD BYTE PTR DS:[ECX],CH
00E69B7D    07              POP ES                                   ; 段寄存器更改
00E69B7E    1C 01           SBB AL,1
00E69B80    0000            ADD BYTE PTR DS:[EAX],AL
00E69B82    0000            ADD BYTE PTR DS:[EAX],AL

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
BlueT
雪    币: 517
活跃值: (35)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
2
这儿应该是数据段,非代码区段。
2009-12-29 10:06
0
tomtomtom
雪    币: 91
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
确实是数据区,问题是我打内存断点去没去断下。这是为什么?看上去像是dll里的数据,如果是dll里的数据没法内存断点?
2009-12-29 15:40
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
这里应该是已分配未使用的区域
2009-12-29 17:59
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
具体,你应该用exe文件块查看器看一下,应该到了最后几个段了
段的名字会告诉你它有什么用的
2009-12-29 18:01
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
你这个程序要么就是调试跑飞了,要么就是原程序利用异常返回正常位置
2009-12-29 18:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//