-
-
[求助]关于在OD中寻找{EBP+8}的来源
-
发表于: 2017-11-7 01:07
-
各位表哥,在下逆向小白一枚,在学习OD的过程中遇到了以下难题,特此求助,恳求牛人不吝赐教
小弟在找edi=
20C1C780
的来源,到了黄色框那里,出现[ebp+8],此时下断
[ebp+8]的值如信息框所示为20C1C780,ebp
20C1C780,
是栈底指针,
[ebp+8]应该是在上层CALL里面,压入这个CALL的第一个参数
于是小弟果断ctrl+f9,回到上层的CALL里如下图:
第一张图
第二张图:
第三张图:
小弟已经在图中做了两处标注,被调用的CALL的位置和压入得第一个参数位置,这三幅图的不同之处在于信息框所示ss:[ ]也就是 [ebp+8]的值总是在变就是没有要找的20C1C780这个值,愁死了,保险起见就又返回了上一层看看如图:
CALL前面压入四个参数,就是黄色框下面那四个,小弟依次下断看信息框的值,第一个压入参数
[esi+4]
的值也是在变化,但是和[ebp+8]变化的值没有相同的,其他三个参数也试了试值都不和[EBP+8]相同,那
[EBP+8]的值究竟哪里来的呢?我相信数据不会无中生有总有来源,只是我没有找对追根溯源的方法,请求牛人指点迷津
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
