-
-
[旧帖]
求助]请问如何准确获得函数传递的参数?
0.00雪花
-
发表于:
2010-10-11 12:07
4343
-
[旧帖] 求助]请问如何准确获得函数传递的参数?
0.00雪花
0663FE90 /. 55 push ebp
0663FE91 |. 8BEC mov ebp, esp
0663FE93 |. 8B45 0C mov eax, dword ptr [ebp+C]
0663FE96 |. 50 push eax
0663FE97 |. 8B4D 08 mov ecx, dword ptr [ebp+8]
0663FE9A |. 51 push ecx
0663FE9B |. 8B55 10 mov edx, dword ptr [ebp+10]
0663FE9E |. 52 push edx
0663FE9F |. E8 06018DFF call 05F0FFAA
0663FEA4 |. 83C4 0C add esp, 0C
0663FEA7 |. 8B45 18 mov eax, dword ptr [ebp+18]
0663FEAA |. 50 push eax
0663FEAB |. 8B4D 14 mov ecx, dword ptr [ebp+14]
0663FEAE |. 51 push ecx
0663FEAF |. 8B55 0C mov edx, dword ptr [ebp+C]
0663FEB2 |. 52 push edx
0663FEB3 |. 8B45 10 mov eax, dword ptr [ebp+10]
0663FEB6 |. 50 push eax
0663FEB7 |. E8 04FEFFFF call 0663FCC0 ; 这里是我要分析的函数
0663FEBC |. 83C4 10 add esp, 10
0663FEBF |. 5D pop ebp
0663FEC0 \. C3 retn
该函数位于一个模块中,我想返回上层来获得 [ebp+18] 参数的值,想了解下该参数具体是谁传入的,结果返回上层后,是这个
06D0F5C2 22B4F4 E2287CA9 and dh, byte ptr [esp+esi*8+A97C28E2>
06D0F5C9 8B6D AE mov ebp, dword ptr [ebp-52]
06D0F5CC 838E 7CA320D0 1>or dword ptr [esi+D020A37C], 1D
06D0F5D3 E9 63410000 jmp 06D1373B
06D0F5D8 68 ADB3D707 push 7D7B3AD ----------------------------返回后就跳转到这里了,上面看起来根本没调用过该函数,何解,我该如何找到传入参数的代码块。
06D0F5DD ^ E9 F3F2ECFF jmp 06BDE8D5
06D0F5E2 68 37B6D707 push 7D7B637
06D0F5E7 ^ E9 E9F2ECFF jmp 06BDE8D5
06D0F5EC 71 6F jno short 06D0F65D
06D0F5EE DF59 B5 fistp word ptr [ecx-4B]
06D0F5F1 B6 28 mov dh, 28
06D0F5F3 90 nop
06D0F5F4 CC int3
每次遇到这种问题就很无奈,辗转反侧无法搞定,求大虾们给个思路
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
