[讨论]要是有前一指令的地址的寄存器就好了-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 2 楼 eip 是指向下一条指令地址（不是当前），call 后的 stack 存在的返回地址也是 call 指令后的下一条指令 2014-3-23 09:34 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 3 楼哥们如果你用OD调试器的话，要知道快捷键“-”号的妙用，这不就是你要找的吗 2014-3-23 10:31 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 4 楼这是个好主意啊。建议把你的想法告诉intel就好了，或者告诉amd也可以。当年，vmware不就是在没有vt技术的情况下开发了虚拟机吗，以后才有amd和intel支持虚拟机技术。 2014-3-23 10:35 0
boble 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	boble 5 楼很有创意的想法，精神上支持 2014-3-23 13:14 0
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 6 楼这个必须有硬件支持，例如CPU上加一个寄存器最近一次EIP改变时的值。单靠软件是不能是实现你要的功能的。如果你在OD里用F8调试，那么所有被单步的指令使用“-”号键都可以回退查看。但是用F8步过的函数或者F9就不可以用了。在OD中实现完全记录程序运行流程需要用到“RUN追踪”功能，但是那个效率太低了，运行程序就好像死机一样，慢的要死。以前看过一个帖子，说英特尔的处理器，除了支持VT外，还支持分支追踪？还是指令追踪？记不清了，但是好像没见过有人真的再用这个。 2014-3-23 15:32 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 7 楼在盏里能找到的为什么要加寄存器多麻烦啊 2014-3-23 19:07 0
ssker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	ssker 8 楼噢，多谢指正。 2014-3-23 22:49 0
ssker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	ssker 9 楼是啊，有硬件支持就方便多了。 2014-3-23 22:51 0
ssker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	ssker 10 楼 jmp就没有堆栈 2014-3-23 22:52 0
linkto 雪币： 15 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 47 粉丝 0 关注私信	linkto 11 楼 jmp XXX jmp [XXX] 这样的还可以搜索的到要是jmp eax这样就完全没办法了脱壳遇到偷代码的话这种情况很麻烦啊 2014-3-25 19:07 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 12 楼 Broadwell-DE... 全新加入的Processor Trace(可捕获代码执行细节)... intel果然就加入了硬件跟踪功能了。 2014-6-27 08:34 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 13 楼以前也有这种想法，但是后来觉得没有必要，这种寄存器除了调试外，其他还有哪个地方用到呢？ 2014-6-27 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 2 楼 eip 是指向下一条指令地址（不是当前），call 后的 stack 存在的返回地址也是 call 指令后的下一条指令 2014-3-23 09:34 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 3 楼哥们如果你用OD调试器的话，要知道快捷键“-”号的妙用，这不就是你要找的吗 2014-3-23 10:31 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 4 楼这是个好主意啊。建议把你的想法告诉intel就好了，或者告诉amd也可以。当年，vmware不就是在没有vt技术的情况下开发了虚拟机吗，以后才有amd和intel支持虚拟机技术。 2014-3-23 10:35 0
boble 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	boble 5 楼很有创意的想法，精神上支持 2014-3-23 13:14 0
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 6 楼这个必须有硬件支持，例如CPU上加一个寄存器最近一次EIP改变时的值。单靠软件是不能是实现你要的功能的。如果你在OD里用F8调试，那么所有被单步的指令使用“-”号键都可以回退查看。但是用F8步过的函数或者F9就不可以用了。在OD中实现完全记录程序运行流程需要用到“RUN追踪”功能，但是那个效率太低了，运行程序就好像死机一样，慢的要死。以前看过一个帖子，说英特尔的处理器，除了支持VT外，还支持分支追踪？还是指令追踪？记不清了，但是好像没见过有人真的再用这个。 2014-3-23 15:32 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 7 楼在盏里能找到的为什么要加寄存器多麻烦啊 2014-3-23 19:07 0
ssker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	ssker 8 楼噢，多谢指正。 2014-3-23 22:49 0
ssker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	ssker 9 楼是啊，有硬件支持就方便多了。 2014-3-23 22:51 0
ssker 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	ssker 10 楼 jmp就没有堆栈 2014-3-23 22:52 0
linkto 雪币： 15 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 47 粉丝 0 关注私信	linkto 11 楼 jmp XXX jmp [XXX] 这样的还可以搜索的到要是jmp eax这样就完全没办法了脱壳遇到偷代码的话这种情况很麻烦啊 2014-3-25 19:07 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 12 楼 Broadwell-DE... 全新加入的Processor Trace(可捕获代码执行细节)... intel果然就加入了硬件跟踪功能了。 2014-6-27 08:34 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 13 楼以前也有这种想法，但是后来觉得没有必要，这种寄存器除了调试外，其他还有哪个地方用到呢？ 2014-6-27 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复