[求助][求助]Windbg反汇编FF15形式的CALL-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助][求助]Windbg反汇编FF15形式的CALL

发表于: 2012-12-25 17:48 5017

[求助][求助]Windbg反汇编FF15形式的CALL

kuanyin

2012-12-25 17:48

5017

前几天小弟在用WINDBG调试一个程序时，发现一个奇怪的问题，一直没能解决，所以把问题发上来，求前辈指点一下迷津。

下面描述一下问题：
在使用Windbg反汇编一个CALL时，该CALL中有一条FF15的CALL调用，经过分析这个CALL实际上是调用 Kernel32.InterlockedIncrement，而windbg却没有认出来，反汇编代码如下：
33d9a2d0 55             push ebp
33d9a2d1 8bec          mov    ebp,esp
33d9a2d3 8b4508       mov    eax,dword ptr [ebp+8]
33d9a2d6 83c004       add    eax,4
33d9a2d9 50             push eax
33d9a2da ff1530380534 call dword ptr [IM!DllUnregisterServer+0x350350 (34053830)]
33d9a2e0 5d             pop    ebp
33d9a2e1 c20400       ret    4

但是我使用OD反汇编时，得出了正确的结果，如下：
33D9A2D0 >/.  55             PUSH EBP
33D9A2D1  |.  8BEC          MOV EBP,ESP
33D9A2D3  |.  8B45 08    MOV EAX,[ARG.1]
33D9A2D6  |.  83C0 04    ADD EAX,4
33D9A2D9  |.  50             PUSH EAX                         ; /pVar
33D9A2DA  |.  FF15 30380534 CALL DWORD PTR DS:[<&KERNEL32.InterlockedIncrement>]          ; \InterlockedIncrement
33D9A2E0  |.  5D             POP EBP
33D9A2E1  \.  C2 0400    RETN 4

所以想请教一下，怎么使WINDBG中能正确地反汇编，显示出正确的目标调用。
在此先感谢了！~

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・0

免费・0

支持

最新回复 (1)
hmilywen 雪币： 1482 活跃值： (879) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 2 楼加载微软符号 2012-12-25 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kuanyin

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
hmilywen 雪币： 1482 活跃值： (879) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 2 楼加载微软符号 2012-12-25 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复