不明白为什么非要改成ret 8,ret2，哪来的？如何计算出来的？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (34) ◀ 1 2
暗月之魂雪币： 53 活跃值： (528) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 26 楼没学会跑，就想飞了。。 2015-7-15 21:05 0
我有层壳雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 0 关注私信	我有层壳 27 楼一般进入一个call之后，请查看这个函数尾部的retn xx 直接抄过来就好了。 2015-7-16 09:51 0
ntDownload 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 0 关注私信	ntDownload 28 楼楼主的汇编知识约等于0 你跟他说这些，没有的~ 2015-7-16 12:16 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 29 楼这样改就相当于把原函数改成了 return 1，已经和本来的函数没关系了至于ret后面到底是多少，原来函数尾部是多少就是多少就好了一般来说retn后面有数字就是stdcall了，被调用方负责平栈没数字就是cdecl，调用方负责平栈，这种情况你可以去调用函数的地方往下面翻翻，会有add esp, 20h 不平栈会怎么样？你函数调用的参数就会剩在堆栈里，可能会导致程序崩溃，也可能会没事 2015-7-16 13:11 0
ninebell 雪币： 36207 活跃值： (7170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1127 粉丝 71 关注私信	ninebell 30 楼费话真多,不明白才要发贴问的啊,个个一上来都成大神还要论坛干什么? 2015-7-16 13:37 0
ninebell 雪币： 36207 活跃值： (7170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1127 粉丝 71 关注私信	ninebell 31 楼原来如此,又学了一招. 2015-7-16 13:39 0
Demonyl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	Demonyl 32 楼程序平栈跟函数的调用约定有关。如果是使用__stdcall 或者 __fastcall 调用约定，函数自行平栈。汇编中在函数末尾就有 retn 10 含义就是本函数有 4个参数 (4*4 = 16 即为 0x010) 如果是使用__cdecl调用约定，调用者平栈汇编中即为 push a push b push c push d call xxxxxx add esp,10 2015-7-16 15:25 0
w捏肥阿宝雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	w捏肥阿宝 33 楼好难啊...... 2015-7-17 00:45 0
killbr 雪币： 16547 活跃值： (1840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1709 粉丝 4 关注私信	killbr 34 楼这贴,实在是赚大了. 2015-7-17 06:05 0
编程小白雪币： 441 活跃值： (1085) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 35 楼看看我是什么级别的会员。 2016-5-27 10:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (34) ◀ 1 2
暗月之魂雪币： 53 活跃值： (528) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 26 楼没学会跑，就想飞了。。 2015-7-15 21:05 0
我有层壳雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 0 关注私信	我有层壳 27 楼一般进入一个call之后，请查看这个函数尾部的retn xx 直接抄过来就好了。 2015-7-16 09:51 0
ntDownload 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 255 粉丝 0 关注私信	ntDownload 28 楼楼主的汇编知识约等于0 你跟他说这些，没有的~ 2015-7-16 12:16 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 29 楼这样改就相当于把原函数改成了 return 1，已经和本来的函数没关系了至于ret后面到底是多少，原来函数尾部是多少就是多少就好了一般来说retn后面有数字就是stdcall了，被调用方负责平栈没数字就是cdecl，调用方负责平栈，这种情况你可以去调用函数的地方往下面翻翻，会有add esp, 20h 不平栈会怎么样？你函数调用的参数就会剩在堆栈里，可能会导致程序崩溃，也可能会没事 2015-7-16 13:11 0
ninebell 雪币： 36207 活跃值： (7170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1127 粉丝 71 关注私信	ninebell 30 楼费话真多,不明白才要发贴问的啊,个个一上来都成大神还要论坛干什么? 2015-7-16 13:37 0
ninebell 雪币： 36207 活跃值： (7170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1127 粉丝 71 关注私信	ninebell 31 楼原来如此,又学了一招. 2015-7-16 13:39 0
Demonyl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	Demonyl 32 楼程序平栈跟函数的调用约定有关。如果是使用__stdcall 或者 __fastcall 调用约定，函数自行平栈。汇编中在函数末尾就有 retn 10 含义就是本函数有 4个参数 (4*4 = 16 即为 0x010) 如果是使用__cdecl调用约定，调用者平栈汇编中即为 push a push b push c push d call xxxxxx add esp,10 2015-7-16 15:25 0
w捏肥阿宝雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	w捏肥阿宝 33 楼好难啊...... 2015-7-17 00:45 0
killbr 雪币： 16547 活跃值： (1840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1709 粉丝 4 关注私信	killbr 34 楼这贴,实在是赚大了. 2015-7-17 06:05 0
编程小白雪币： 441 活跃值： (1085) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 35 楼看看我是什么级别的会员。 2016-5-27 10:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复