首页
社区
课程
招聘
[求助]关于在OD中寻找{EBP+8}的来源
发表于: 2017-11-7 01:07 8303

[求助]关于在OD中寻找{EBP+8}的来源

2017-11-7 01:07
8303
各位表哥,在下逆向小白一枚,在学习OD的过程中遇到了以下难题,特此求助,恳求牛人不吝赐教
小弟在找edi= 20C1C780 的来源,到了黄色框那里,出现[ebp+8],此时下断 [ebp+8]的值如信息框所示为20C1C780,ebp 20C1C780, 是栈底指针, [ebp+8]应该是在上层CALL里面,压入这个CALL的第一个参数

于是小弟果断ctrl+f9,回到上层的CALL里如下图:
第一张图
第二张图:
第三张图:

小弟已经在图中做了两处标注,被调用的CALL的位置和压入得第一个参数位置,这三幅图的不同之处在于信息框所示ss:[   ]也就是 [ebp+8]的值总是在变就是没有要找的20C1C780这个值,愁死了,保险起见就又返回了上一层看看如图:

CALL前面压入四个参数,就是黄色框下面那四个,小弟依次下断看信息框的值,第一个压入参数 [esi+4] 的值也是在变化,但是和[ebp+8]变化的值没有相同的,其他三个参数也试了试值都不和[EBP+8]相同,那 [EBP+8]的值究竟哪里来的呢?我相信数据不会无中生有总有来源,只是我没有找对追根溯源的方法,请求牛人指点迷津

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 201
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
当你Ctrl+F9返回上层的时候,EBP已经变了。 

2017-11-7 09:58
0
雪    币: 221
活跃值: (375)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我在第一次按ctrl+F9  之前[ebp+8]那里也有多次下断,数值是没有变化的,我也试了下条件断点,可还是回到相同的那个上一层
2017-11-7 10:21
0
雪    币: 221
活跃值: (375)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我好像明白点什么了,不过还没有彻底弄清,谢谢您,Ovie
2017-11-7 10:28
0
雪    币: 202
活跃值: (428)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
同问,解决了吗
2022-1-30 13:58
0
游客
登录 | 注册 方可回帖
返回
//