mov ecx,dword ptr ss:[ebp-24C] 含义。送分的问题，快来啦-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
帅哥飞雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 126 粉丝 0 关注私信	帅哥飞 2 楼 ebp 是栈底 esp 是栈顶 PUSH EBP 是保存栈底 mov ebp,esp 是把栈顶给栈底成为新栈底下一句应该是 sub esp,xxx 提升栈顶 2012-1-20 22:32 0
Naylon 雪币： 227 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 3 楼通常MSAPI特征都比较一致，框架如下： kernel32!GetProcAddress: 7c80ae40 8bff mov edi,edi ;无意义，用于HotPatch 7c80ae42 55 push ebp ;保存原始ebp的内容 7c80ae43 8bec mov ebp,esp ;另ebp指向当前栈顶 …… 执行完上述3条指令后，才开始函数内部的操作。接下来通常会为局部变量开辟栈空间比如： sub esp, 60h ;开辟一段大小为0x60的内存 esp即随之变化，但ebp不变，此时： ebp - 0x60 == esp + 0x00 ebp - 0x5C == esp + 0x04 …… ebp - 0x04 == esp + 0x5C ebp - 0x00 == esp + 0x60 用ebp或esp都可以访问局部变量参数的话通常用ebp来寻址： ebp + 0x08 == Param1 ebp + 0x0C == Param2 ……（仅讨论WINAPI __stdcall）当前栈空间大体布局如下： +0xXX参数n …… +0x0C参数2 +0x08参数1 +0x04返回地址（某一时刻的EIP） +0x00原始EBP（push ebp存进来的） =====当前EBP（曾经这里是栈顶，然后mov ebp,esp来着！）===== -0x04局部变量1 -0x08局部变量2 …… -0xXX局部变量n =====当前ESP（传说中的栈顶）===== 希望对你有帮助 2012-1-21 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
帅哥飞雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 126 粉丝 0 关注私信	帅哥飞 2 楼 ebp 是栈底 esp 是栈顶 PUSH EBP 是保存栈底 mov ebp,esp 是把栈顶给栈底成为新栈底下一句应该是 sub esp,xxx 提升栈顶 2012-1-20 22:32 0
Naylon 雪币： 227 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 3 楼通常MSAPI特征都比较一致，框架如下： kernel32!GetProcAddress: 7c80ae40 8bff mov edi,edi ;无意义，用于HotPatch 7c80ae42 55 push ebp ;保存原始ebp的内容 7c80ae43 8bec mov ebp,esp ;另ebp指向当前栈顶 …… 执行完上述3条指令后，才开始函数内部的操作。接下来通常会为局部变量开辟栈空间比如： sub esp, 60h ;开辟一段大小为0x60的内存 esp即随之变化，但ebp不变，此时： ebp - 0x60 == esp + 0x00 ebp - 0x5C == esp + 0x04 …… ebp - 0x04 == esp + 0x5C ebp - 0x00 == esp + 0x60 用ebp或esp都可以访问局部变量参数的话通常用ebp来寻址： ebp + 0x08 == Param1 ebp + 0x0C == Param2 ……（仅讨论WINAPI __stdcall）当前栈空间大体布局如下： +0xXX参数n …… +0x0C参数2 +0x08参数1 +0x04返回地址（某一时刻的EIP） +0x00原始EBP（push ebp存进来的） =====当前EBP（曾经这里是栈顶，然后mov ebp,esp来着！）===== -0x04局部变量1 -0x08局部变量2 …… -0xXX局部变量n =====当前ESP（传说中的栈顶）===== 希望对你有帮助 2012-1-21 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复