[求助]驱动中esp-4的位置是什么-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2 楼 esp-4这个不确定吧。一般来说有可能是下一层堆栈函数的参数吧， 2012-3-11 08:59 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 3 楼这得根据上下文来定吧。谁知道现在esp现在指向哪呢。 esp总是在变的。 2012-3-11 09:31 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 4 楼栈顶指针，会变的，自己用OD观察下。esp=??,[esp]=?? 2012-3-11 10:09 0
baijianli 雪币： 260 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	baijianli 5 楼 [QUOTE=笨奔;1052155]栈顶指针，会变的，自己用OD观察下。esp=??,[esp]=??[/QUOTE] 堆栈指针我知道啊，你试试用windbg调试驱动环境下，[esp-4]的值一直是eflag寄存器的值，比如执行push 123456后，esp减4了，原来[esp-4]处成了123456，然后新的[esp-4]处仍变成了eflag的值，且这个值不能通过指令修改。为什么在驱动环境下，无论esp怎么变化，[esp-4]的值一直保持为eflag寄存器的值？ 2012-3-11 13:02 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 6 楼 [QUOTE=baijianli;1052200]堆栈指针我知道啊，你试试用windbg调试驱动环境下，[esp-4]的值一直是eflag寄存器的值，比如执行push 123456后，esp减4了，原来[esp-4]处成了123456，然后新的[esp-4]处仍变成了eflag的值，且这个值不能通过指令修改。为什么在驱动环境下，无论esp怎么变化...[/QUOTE] 这是调试器的特性，调试器会用esp-4来存放数据。以前Icesword有一个反调试的技巧就是检查esp-4如果发现被改了说明是被调试自动破坏线程块 2012-8-12 17:36 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 7 楼这句的上面一个push xxx就是了 2012-8-12 19:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2 楼 esp-4这个不确定吧。一般来说有可能是下一层堆栈函数的参数吧， 2012-3-11 08:59 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 3 楼这得根据上下文来定吧。谁知道现在esp现在指向哪呢。 esp总是在变的。 2012-3-11 09:31 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 4 楼栈顶指针，会变的，自己用OD观察下。esp=??,[esp]=?? 2012-3-11 10:09 0
baijianli 雪币： 260 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	baijianli 5 楼 [QUOTE=笨奔;1052155]栈顶指针，会变的，自己用OD观察下。esp=??,[esp]=??[/QUOTE] 堆栈指针我知道啊，你试试用windbg调试驱动环境下，[esp-4]的值一直是eflag寄存器的值，比如执行push 123456后，esp减4了，原来[esp-4]处成了123456，然后新的[esp-4]处仍变成了eflag的值，且这个值不能通过指令修改。为什么在驱动环境下，无论esp怎么变化，[esp-4]的值一直保持为eflag寄存器的值？ 2012-3-11 13:02 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 6 楼 [QUOTE=baijianli;1052200]堆栈指针我知道啊，你试试用windbg调试驱动环境下，[esp-4]的值一直是eflag寄存器的值，比如执行push 123456后，esp减4了，原来[esp-4]处成了123456，然后新的[esp-4]处仍变成了eflag的值，且这个值不能通过指令修改。为什么在驱动环境下，无论esp怎么变化...[/QUOTE] 这是调试器的特性，调试器会用esp-4来存放数据。以前Icesword有一个反调试的技巧就是检查esp-4如果发现被改了说明是被调试自动破坏线程块 2012-8-12 17:36 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 7 楼这句的上面一个push xxx就是了 2012-8-12 19:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复