[讨论]如何确定当前指令是从哪条指令过来的-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2 楼 http://advdbg.org/books/swdbg/t_cpuwhere.aspx http://bbs.pediy.com/showthread.php?t=66975&highlight=Branch+Trace http://www.unpack.cn/viewthread.php?tid=39880 http://bbs.pediy.com/showthread.php?t=80472&highlight=Branch+Trace 2011-3-21 23:41 0
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 3 楼 [QUOTE=bzhkl;938594]http://www.unpack.cn/viewthread.php?tid=39880[/QUOTE] 是啥子东西啊？ 2011-3-21 23:44 0
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 4 楼这个我已经解决了。我参考了http://bbs.pediy.com/showthread.php?t=73623 帖子中5楼的方法二思路，又学习了http://bbs.pediy.com/showthread.php?t=26029脚本知识。写了下面的脚本： /////////////////////////////////////////////////// Found Last EIP Author: chglyq Email : chglyq@qq.com OS : WinXP sp1,Ollydbg 1.1,OllyScript v0.92 Date : 2011-03-23 Action: Found Last EIP Config: N/A Note : If you have one or more question, email me please,thank you! /////////////////////////////////////////////////// var preEIP /preEIP记录当前指令的上一条指令的EIP/ mov preEIP,eip start: ESTI /F7/ cmp eip,75FF0000 jb ipcomp /有些段不用F7跟踪/ RTR /CHRL+F7/ mov preEIP,eip jmp start ipcomp: cmp eip,73393600 /就是要找73393600的上一条指令/ jne jixuzou log preEIP /找到打印/ pause jmp findover jixuzou: mov preEIP,eip jmp start findover: ret /==========这是我的第一个脚本============/ 2011-3-22 18:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2 楼 http://advdbg.org/books/swdbg/t_cpuwhere.aspx http://bbs.pediy.com/showthread.php?t=66975&highlight=Branch+Trace http://www.unpack.cn/viewthread.php?tid=39880 http://bbs.pediy.com/showthread.php?t=80472&highlight=Branch+Trace 2011-3-21 23:41 0
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 3 楼 [QUOTE=bzhkl;938594]http://www.unpack.cn/viewthread.php?tid=39880[/QUOTE] 是啥子东西啊？ 2011-3-21 23:44 0
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 4 楼这个我已经解决了。我参考了http://bbs.pediy.com/showthread.php?t=73623 帖子中5楼的方法二思路，又学习了http://bbs.pediy.com/showthread.php?t=26029脚本知识。写了下面的脚本： /////////////////////////////////////////////////// Found Last EIP Author: chglyq Email : chglyq@qq.com OS : WinXP sp1,Ollydbg 1.1,OllyScript v0.92 Date : 2011-03-23 Action: Found Last EIP Config: N/A Note : If you have one or more question, email me please,thank you! /////////////////////////////////////////////////// var preEIP /preEIP记录当前指令的上一条指令的EIP/ mov preEIP,eip start: ESTI /F7/ cmp eip,75FF0000 jb ipcomp /有些段不用F7跟踪/ RTR /CHRL+F7/ mov preEIP,eip jmp start ipcomp: cmp eip,73393600 /就是要找73393600的上一条指令/ jne jixuzou log preEIP /找到打印/ pause jmp findover jixuzou: mov preEIP,eip jmp start findover: ret /==========这是我的第一个脚本============/ 2011-3-22 18:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复