能力值:
(RANK:350 )
|
-
-
2 楼
知道是EAX是关键就好办了,向上看看,可能会见到一些函数,如:
call xxxxx //如果EAX是由这个CALL决定的,就跟进去看看
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
哈 kanxue老大亲自回复我个小菜鸟 真是好感动,,上面果然是有 call 滴 追踪去咯 呼呼
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
...可是俺发现 call的下面有条指令真是明目张胆:
004C7D7E . 8B45 F0 mov eax, dword ptr [ebp-10]
那个 ebp-10 好像是堆栈呀,
堆栈 ss:[0012FD3C]=00000001
eax=0012F4B4
是这么给的,这条指令完后 eax就等于 ss:[0012FD3C]=00000001 了 ,堆栈里面的东西不是一直在变化吗 能追吗
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
发现 堆栈的值是在
004029E7 |. F3:A5 rep movs dword ptr es:[edi], dword ptr [esi]
之后得来的 但是不知道这句是啥意思 哪位懂的说一下
|
能力值:
( LV6,RANK:90 )
|
-
-
6 楼
可以用dd 0012FD3C随时查看堆栈的值
另外可以在0012fd3c处下写入断点,每往那你写东西的时候,程序就会断下来.
rep mov是重复移动数据的指令吧.你如果可以随时查看
es:[edi]处和ptr [esi]的数据,就知道rep是怎样操作的了.
|
|
|
|
