大家好，我想请教一个调试跟踪的问题！～-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-11 23:32 2 楼 0 这许多的大侠看了怎么也不帮帮我呢？^^
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 7 关注私信	gzgzlxg 11 2005-12-12 04:12 3 楼 0 没头没脑的一句，无上下文，所以只能瞎猜。这可能是一个跳转表，即case语句产生的，esi或esi-0C指向该表的起始地址。你那每次都不一样，应该是ecx不一样，esi应该是不变的。
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 01:28 4 楼 0 最初由 gzgzlxg 发布没头没脑的一句，无上下文，所以只能瞎猜。这可能是一个跳转表，即case语句产生的，esi或esi-0C指向该表的起始地址。你那每次都不一样，应该是ecx不一样，esi应该是不变的。我这个语句只是举个例子，ESI是不变的，但是ecx的值是每次都不同，所以[esi+4*ecx-0C]所指向的值也是不一样，那我怎么才能跟踪分析这个动态地址上的数据呢？
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 01:30 5 楼 0 如果是全局变量的话，我用BPM可以跟进，但动态的，我就不会做了。
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2005-12-14 02:24 6 楼 0 最初由 Leaders 发布在语句： mov eax, dword ptr [esi+4ecx-0C] 中，[esi+4ecx-0C]地址是动态的，每次都不一样，现在我想要用SOFTICE跟踪它里面的数据是从哪里来，我在该句上下断点，断下后，能看到[esi+4*ecx-0C]是从一个地址来的，但是我想要跟踪这个地址上的数据来源，却怎么也跟不了，因为这个地址是动态的，每次都不一样，我该怎么做才能跟得下去呢？很像VB P-CODE程序哦
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 15:21 7 楼 0 不是VB程序哦，是VC的。
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 15:23 8 楼 0 一直跟到这就跟不下去了，对这句下断点，基本上没一次地址是一样的！
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 21:14 9 楼 0 还是没有人帮我啊。。。。。。
kanxue 雪币： 35386 活跃值： (19270) 能力值： (RANK：350 ) 在线值：发帖 2361 回帖 17016 粉丝 497 关注私信	kanxue 8 2005-12-14 21:46 10 楼 0 最初由 Leaders 发布还是没有人帮我啊。。。。。。 gzgzlxg都说了，[esi+4ecx-0C]指向一个表 esi基址不变，ecx类似一个指针。这样，当ecx值不同，mov eax, dword ptr [esi+4ecx-0C] 就从不同地址取值。你要得到数据来源，事先得对 [esi+4*ecx-0C] 跳转数据表搞清楚，将地址确定好，然后设内存断点。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-11 23:32 2 楼 0 这许多的大侠看了怎么也不帮帮我呢？^^
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 7 关注私信	gzgzlxg 11 2005-12-12 04:12 3 楼 0 没头没脑的一句，无上下文，所以只能瞎猜。这可能是一个跳转表，即case语句产生的，esi或esi-0C指向该表的起始地址。你那每次都不一样，应该是ecx不一样，esi应该是不变的。
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 01:28 4 楼 0 最初由 gzgzlxg 发布没头没脑的一句，无上下文，所以只能瞎猜。这可能是一个跳转表，即case语句产生的，esi或esi-0C指向该表的起始地址。你那每次都不一样，应该是ecx不一样，esi应该是不变的。我这个语句只是举个例子，ESI是不变的，但是ecx的值是每次都不同，所以[esi+4*ecx-0C]所指向的值也是不一样，那我怎么才能跟踪分析这个动态地址上的数据呢？
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 01:30 5 楼 0 如果是全局变量的话，我用BPM可以跟进，但动态的，我就不会做了。
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2005-12-14 02:24 6 楼 0 最初由 Leaders 发布在语句： mov eax, dword ptr [esi+4ecx-0C] 中，[esi+4ecx-0C]地址是动态的，每次都不一样，现在我想要用SOFTICE跟踪它里面的数据是从哪里来，我在该句上下断点，断下后，能看到[esi+4*ecx-0C]是从一个地址来的，但是我想要跟踪这个地址上的数据来源，却怎么也跟不了，因为这个地址是动态的，每次都不一样，我该怎么做才能跟得下去呢？很像VB P-CODE程序哦
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 15:21 7 楼 0 不是VB程序哦，是VC的。
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 15:23 8 楼 0 一直跟到这就跟不下去了，对这句下断点，基本上没一次地址是一样的！
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 2005-12-14 21:14 9 楼 0 还是没有人帮我啊。。。。。。
kanxue 雪币： 35386 活跃值： (19270) 能力值： (RANK：350 ) 在线值：发帖 2361 回帖 17016 粉丝 497 关注私信	kanxue 8 2005-12-14 21:46 10 楼 0 最初由 Leaders 发布还是没有人帮我啊。。。。。。 gzgzlxg都说了，[esi+4ecx-0C]指向一个表 esi基址不变，ecx类似一个指针。这样，当ecx值不同，mov eax, dword ptr [esi+4ecx-0C] 就从不同地址取值。你要得到数据来源，事先得对 [esi+4*ecx-0C] 跳转数据表搞清楚，将地址确定好，然后设内存断点。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复