为什么这段函数的返回再程序里找不到-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
Aifc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	Aifc 2 楼我是外行,平时是动态跟到'ret 0010'时看ESP中的值,或者干脆跟到程序返回才知道.不知道内行们是怎样做的. 2006-6-12 17:16 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 3 楼可以告诉我怎么办吗？谢谢 2006-6-13 11:01 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 4 楼请大虾指点，或给点相关文章 2006-6-13 14:14 0
prophet 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	prophet 5 楼记得ret x 的 x 是调整栈的平衡吧.. 2006-6-13 14:43 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 6 楼最初由康科发布 mov ecx, dword pt[esp+10] mov edx,** mov eax push ecx push edx ........ 向上找到这个函数的入口，下中断，再次运行程序，中断在入口后到堆栈窗口中看看会给你惊喜的。或者到OD的堆栈调用记录窗口中看看。 2006-6-13 14:50 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 7 楼谢谢，可以举个例子吗？我不懂汇编，但是我必须要改这个程序。我只是为了使用上的方便。。所以靠自己。我按F8，它就跳70***的地址，但是反汇编的都是40**的 2006-6-13 15:27 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 8 楼请大虾指点.. 2006-6-13 22:59 0
memxie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	memxie 9 楼 RET X 的意思是 EIP = stack.pop ( EIP = SS:[ESP], ESP = ESP + 4 ) 然後 ESP = ESP + X 所以,必?要看??的 stack 才知道?回到哪 2006-6-14 10:38 0
kywds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	kywds 10 楼你的返回地址是调用系统的函数很多时候用控件会出现你说的情况 2006-6-15 02:20 0
njzzzzzz 雪币： 207 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 212 粉丝 0 关注私信	njzzzzzz 11 楼 mov ecx, dword pt[esp+10] mov edx, mov eax push ecx push edx push eax call **** add esp,*** xor eax, eax ret 0010 <=====这里返会在程序里找不到，应该怎样才能知道它返回哪里谢谢在add esp,*** 这一行****的值应该为C就对了也就是add esp,0C 或add esp,eax eax=C 你让******里面的值为C就可以了 2006-6-15 02:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
Aifc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	Aifc 2 楼我是外行,平时是动态跟到'ret 0010'时看ESP中的值,或者干脆跟到程序返回才知道.不知道内行们是怎样做的. 2006-6-12 17:16 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 3 楼可以告诉我怎么办吗？谢谢 2006-6-13 11:01 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 4 楼请大虾指点，或给点相关文章 2006-6-13 14:14 0
prophet 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	prophet 5 楼记得ret x 的 x 是调整栈的平衡吧.. 2006-6-13 14:43 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 6 楼最初由康科发布 mov ecx, dword pt[esp+10] mov edx,** mov eax push ecx push edx ........ 向上找到这个函数的入口，下中断，再次运行程序，中断在入口后到堆栈窗口中看看会给你惊喜的。或者到OD的堆栈调用记录窗口中看看。 2006-6-13 14:50 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 7 楼谢谢，可以举个例子吗？我不懂汇编，但是我必须要改这个程序。我只是为了使用上的方便。。所以靠自己。我按F8，它就跳70***的地址，但是反汇编的都是40**的 2006-6-13 15:27 0
康科雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	康科 8 楼请大虾指点.. 2006-6-13 22:59 0
memxie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	memxie 9 楼 RET X 的意思是 EIP = stack.pop ( EIP = SS:[ESP], ESP = ESP + 4 ) 然後 ESP = ESP + X 所以,必?要看??的 stack 才知道?回到哪 2006-6-14 10:38 0
kywds 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	kywds 10 楼你的返回地址是调用系统的函数很多时候用控件会出现你说的情况 2006-6-15 02:20 0
njzzzzzz 雪币： 207 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 212 粉丝 0 关注私信	njzzzzzz 11 楼 mov ecx, dword pt[esp+10] mov edx, mov eax push ecx push edx push eax call **** add esp,*** xor eax, eax ret 0010 <=====这里返会在程序里找不到，应该怎样才能知道它返回哪里谢谢在add esp,*** 这一行****的值应该为C就对了也就是add esp,0C 或add esp,eax eax=C 你让******里面的值为C就可以了 2006-6-15 02:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复