能力值:
( LV2,RANK:10 )
|
-
-
76 楼
写的真好 看不懂
|
能力值:
( LV2,RANK:10 )
|
-
-
77 楼
楼主是榜样
|
能力值:
( LV2,RANK:10 )
|
-
-
78 楼
其实调试的过程就是一个不断假设不断否定的过程,学习到了,真的很棒
|
能力值:
( LV2,RANK:10 )
|
-
-
79 楼
强贴学习~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
80 楼
好酷贴子
|
能力值:
( LV2,RANK:10 )
|
-
-
81 楼
学习下,楼主nubility啊! 
|
能力值:
( LV2,RANK:10 )
|
-
-
82 楼
由此可知ecx是从
318dda93 8b4d08 mov ecx,dword ptr [ebp+8]
处被赋值的,下面就找找ebp+8的值哪里来的。为啥要从下向上看?就是要找到ecx寄存器最后一次被赋值的地方!
看了一遍之后,没找到给ebp+8赋值的地方。那说明ebp+8是参数传过来的。那是第几个参数呢?没看到push ebp ,mov ebp,esp啊,我看到此函数第三行有一个调用
318dda11 e8055f0000 call KernelUtil!CFileResumeInfoMgr::DeleteResumeFile+0x717 (318e391b)
根着LZ文章做了一遍,想问问楼主,有一点不明白,上面的ebp+8来确定是哪一个参数的时候,怎么想到在call KernelUtil!CFileResumeInfoMgr::DeleteResumeFile+0x717 里面的? 平时咱用的时候如果没看到push ebp ,mov ebp,esp 就直接当第二个参数了,然后就悲剧了。
|
能力值:
( LV2,RANK:10 )
|
-
-
83 楼
感谢楼主,好厉害啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
84 楼
学习了,顶起!
|
能力值:
( LV2,RANK:10 )
|
-
-
85 楼
mark
|
能力值:
( LV2,RANK:10 )
|
-
-
86 楼
楼主要不在分析分析图文混合的情况?
|
能力值:
( LV2,RANK:10 )
|
-
-
87 楼
表示不会用windbg
|
能力值:
( LV2,RANK:10 )
|
-
-
88 楼
膜拜啊 !~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
89 楼
楼主,我是菜鸟,有个问题请教一下。
你是怎么通过看导出函数名称“?SaveMsg194@Msg@Util@@YAHPB_WKKKPAUITXMsgPack@@PAUITXData@@@Z”
来推断出函数原型是下面这样子的?
int __cdecl Util::Msg::SaveMsg194(wchar_t const *, unsigned long, unsigned long, unsigned long, struct ITXMsgPack *, struct ITXData *)
|
能力值:
( LV4,RANK:50 )
|
-
-
90 楼
好文 欢迎继续QQ
|
能力值:
( LV2,RANK:10 )
|
-
-
91 楼
mark.
|
能力值:
( LV2,RANK:10 )
|
-
-
92 楼
好长啊……感谢分享
|
能力值:
( LV2,RANK:10 )
|
-
-
93 楼
感谢楼主,好厉害啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
94 楼
留名 等自己试了后再来说感受
|
能力值:
( LV2,RANK:10 )
|
-
-
95 楼
很厉害啊。。。楼主
|
能力值:
( LV3,RANK:20 )
|
-
-
96 楼
很有帮助,感谢楼主分享。在32位Win7 QQ2003 SP6环境下可以打印出发送的消息,不过接收的消息不能打印啊,请问你说的那个软件叫啥名字呢,我想分析下,谢谢。
|
能力值:
( LV2,RANK:10 )
|
-
-
97 楼
来顶一下
|
能力值:
( LV2,RANK:10 )
|
-
-
98 楼
学习下 windbg用法 
|
能力值:
( LV2,RANK:10 )
|
-
-
99 楼
mark
|
能力值:
( LV2,RANK:10 )
|
-
-
100 楼
好帖子,绝对精华
|
|
|
|
