首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [求助] 寻路Call参数分析问题
发表于: 2020-5-9 19:31 2938

未解决 [求助] 寻路Call参数分析问题

茫然若失 活跃值
2020-5-9 19:31
2938

00505678 . E8 13680000 call 0050BE90
0050567D . EB 46 jmp short 005056C5
0050567F > DDD8 fstp st
00505681 > 8B45 08 mov eax, dword ptr [ebp+8]
00505684 50 push eax
00505685 8D8B 988B0000 lea ecx, dword ptr [ebx+8B98]
0050568B E8 00680000 call 0050BE90 ; 寻路2
00505690 . EB 33 jmp short 005056C5
00505692 > 8BBB 9C8B0000 mov edi, dword ptr [ebx+8B9C] ; Default case of switch 0050522E

 

这个Call我nop掉点击走路就走不动了, 所以应该就是寻路Call了 但是我看不到他传入坐标信息啊什么的, 我看到他有 push 一个 eax 和一个lea ecx,百度了一下看到有人说用ecx当参数是个很复杂的操作, 新手刚刚入门, 求各位老师指点一下谢谢了


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
柒雪天尚
雪    币: 181
活跃值: (636)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
写一个C++程序,然后就懂了
2020-5-9 20:18
0
千音丶
雪    币: 9759
活跃值: (3419)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
看看eax和ecx是不是一个结构体,dd一下,看看有没有相关坐标的出现
2020-5-9 22:51
1
wx_沁沁她爸
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
4
大锅,THIS 指针了解下。
2020-5-9 22:55
0
yegu
雪    币: 3710
活跃值: (2669)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
私信
5
这好像是类对象的成员函数调用,有1个入参。
2020-5-10 00:13
1
茫然若失
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
千音丶 看看eax和ecx是不是一个结构体,dd一下,看看有没有相关坐标的出现
下段后查看两寄存器的值如下
当前人物坐标 2505,-843
2505的 16进制是 09C9
-843的16进制是 FCB5
两数相加是1067E

dd eax 数据窗口内
0018F8D0  00000003
0018F8D4  00000000
0018F8D8  4743AA00
0018F8DC  C683CC00
0018F8E0  44000000
0018F8E4  00000000
0018F8E8  08E30000
0018F8EC  00000000
0018F8F0  BF800000
0018F8F4  BB000000
0018F8F8  00000000


dd ecx 数据窗口内,两次下断没有变,上面变过
090311E8  00000000
090311EC  08A94958
090311F0  00000000
090311F4  00000000
090311F8  08C776D0
090311FC  00000000
09031200  00000001
09031204  00000000
感觉是坐标之类的好像被加密了
2020-5-10 11:40
0
千音丶
雪    币: 9759
活跃值: (3419)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
7
可以进行如下测试:先下个断点,然后寻路被断下,然后记录一下eax这个结构体里面的值,自己创建一块内存,然后把这些值都填上去,然后走到一边,然后在调用一下这个CALL,看看能不能寻路到刚才那里
2020-5-11 10:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//