[求助]见鬼了求大佬们帮忙分析-在OD中返回后无法回到调用的位置-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 2 楼慢慢你就习惯了,不是bug~~ 2018-6-22 13:36 0
o冰柠檬o 雪币： 272 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	o冰柠檬o 3 楼你要理解retn实际上是干了啥： 1、从栈中弹出一个值放到eip：pop eip 2、然后再根据call类型看是否需要做栈平衡 3、然后执行eip所指向地址代码。你这个例子中，在retn前是有push的，所以你看看那个push进去的值应该就是你retn后执行的代码位置。 2018-6-22 13:50 0
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 4 楼这代码看起来有点像游戏机 2018-6-22 14:04 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 5 楼最后于 2018-6-22 16:05 被武装的蔷薇编辑，原因： 2018-6-22 16:03 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 6 楼 o冰柠檬o 你要理解retn实际上是干了啥： 1、从栈中弹出一个值放到eip：pop eip 2、然后再根据call类型看是否需要做栈平衡 3、然后执行eip所指向地址代码。你这个例子中，在retn ... 那call的时候不应该把当前地址压栈吗照你这么说为什么不返回call push时候的地址正常应该要返回到调用的位置吧？最后于 2018-6-22 16:05 被武装的蔷薇编辑，原因： 2018-6-22 16:04 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 7 楼最后于 2018-6-22 16:07 被武装的蔷薇编辑，原因： 2018-6-22 16:07 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 8 楼 call的时候是037EE344 ret后是745F7320 2018-6-22 16:09 0
淡然他徒弟雪币： 6157 活跃值： (4907) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 9 楼你得去补补基础知识。例如 push 00401000 retn 会返回到00401000的 2018-6-24 23:34 0
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 10 楼不是BUG。是典型的反调试手段。。或者说是欺骗手段。多学点逆向基础把 2018-6-25 12:16 0
wx_CHAR DEFINE 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_CHAR DEFINE 11 楼补习基础知识以后会习惯的…… 2018-6-26 17:40 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 12 楼 xiaxiansheng 不是BUG。是典型的反调试手段。。或者说是欺骗手段。多学点逆向基础把这个只是正常代码流程而已。反调试不至于.. 2018-8-5 14:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 2 楼慢慢你就习惯了,不是bug~~ 2018-6-22 13:36 0
o冰柠檬o 雪币： 272 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	o冰柠檬o 3 楼你要理解retn实际上是干了啥： 1、从栈中弹出一个值放到eip：pop eip 2、然后再根据call类型看是否需要做栈平衡 3、然后执行eip所指向地址代码。你这个例子中，在retn前是有push的，所以你看看那个push进去的值应该就是你retn后执行的代码位置。 2018-6-22 13:50 0
PYGame 雪币： 2473 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 2 关注私信	PYGame 4 楼这代码看起来有点像游戏机 2018-6-22 14:04 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 5 楼最后于 2018-6-22 16:05 被武装的蔷薇编辑，原因： 2018-6-22 16:03 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 6 楼 o冰柠檬o 你要理解retn实际上是干了啥： 1、从栈中弹出一个值放到eip：pop eip 2、然后再根据call类型看是否需要做栈平衡 3、然后执行eip所指向地址代码。你这个例子中，在retn ... 那call的时候不应该把当前地址压栈吗照你这么说为什么不返回call push时候的地址正常应该要返回到调用的位置吧？最后于 2018-6-22 16:05 被武装的蔷薇编辑，原因： 2018-6-22 16:04 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 7 楼最后于 2018-6-22 16:07 被武装的蔷薇编辑，原因： 2018-6-22 16:07 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 8 楼 call的时候是037EE344 ret后是745F7320 2018-6-22 16:09 0
淡然他徒弟雪币： 6157 活跃值： (4907) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 9 楼你得去补补基础知识。例如 push 00401000 retn 会返回到00401000的 2018-6-24 23:34 0
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 10 楼不是BUG。是典型的反调试手段。。或者说是欺骗手段。多学点逆向基础把 2018-6-25 12:16 0
wx_CHAR DEFINE 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_CHAR DEFINE 11 楼补习基础知识以后会习惯的…… 2018-6-26 17:40 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 12 楼 xiaxiansheng 不是BUG。是典型的反调试手段。。或者说是欺骗手段。多学点逆向基础把这个只是正常代码流程而已。反调试不至于.. 2018-8-5 14:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复