已知:⑴看1902774这行:[esp+04]的值是edx赋值的,我们的目标是向上溯源edx的值是谁赋值的(仅当edx==100bd6时)⑵步进到函数返回,对这种是不行的,因为190278C:ret返回的是1467367,而1467364并没有直接call 1902760这个地址(推测是call了另一个地址,在那里修改了edx,再jmp到1902760)
那么这种情况,如何找到是谁jmp到1902760的呢?有几百个函数jmp到这里,所以不知道是哪个,大虾都是如何溯源这种的?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
再明确一下目标——当1902774和1902760处的edx==100BD6时,如何向上溯源edx值的来源? 已经知道1902760这一行也是有EDX==100BD6的情况了,但再往上呢?