已知:⑴看1902774这行:[esp+04]的值是edx赋值的,我们的目标是向上溯源edx的值是谁赋值的(仅当edx==100bd6时)⑵步进到函数返回,对这种是不行的,因为190278C:ret返回的是1467367,而1467364并没有直接call 1902760这个地址(推测是call了另一个地址,在那里修改了edx,再jmp到1902760)
那么这种情况,如何找到是谁jmp到1902760的呢?有几百个函数jmp到这里,所以不知道是哪个,大虾都是如何溯源这种的?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
再明确一下目标——当1902774和1902760处的edx==100BD6时,如何向上溯源edx值的来源? 已经知道1902760这一行也是有EDX==100BD6的情况了,但再往上呢?