004AEAFC   .  8B95 6CFFFFFF MOV EDX,DWORD PTR SS:[EBP-94]
004AEB02   .  8D45 EC       LEA EAX,DWORD PTR SS:[EBP-14]
004AEB05   .  8B4D EC       MOV ECX,DWORD PTR SS:[EBP-14]
004AEB08   .  E8 AB59F5FF   CALL f4.004044B8
004AEB0D   .  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]
004AEB10   .  8B80 74030000 MOV EAX,DWORD PTR DS:[EAX+374]
004AEB16   .  8B80 20020000 MOV EAX,DWORD PTR DS:[EAX+220]
004AEB1C   .  8B4D EC       MOV ECX,DWORD PTR SS:[EBP-14]
004AEB1F   .  BA 06000000   MOV EDX,6
004AEB24   .  8B18          MOV EBX,DWORD PTR DS:[EAX]
004AEB26   .  FF53 20       CALL DWORD PTR DS:[EBX+20]
004AEB29   .  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14]    ;赋值文件地址到EAX， 文件地址的值放在SS:[EBP-14][/
004AEB2C   .  E8 D7A4F5FF   CALL f4.00409008                         ;  FileName 1.3
004AEB31   .  84C0          TEST AL,AL
004AEB33   .  75 12         JNZ SHORT f4.004AEB47 ;文件不存在则重新创建
004AEB35   .  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14] ;  取文件地址进入EAX，给CreateFile做参数用
004AEB38   .  E8 FFC4FFFF   CALL f4.004AB03C                         ;  CreatFile 1.8,生成文件
004AEB3D   .  68 E8030000   PUSH 3E8                                 ; /Timeout = 1000. ms
004AEB42   .  E8 71EEF5FF   CALL <JMP.&kernel32.Sleep>               ; \Sleep
004AEB47   >  33D2          XOR EDX,EDX

程序思路我这样理解的，感觉没有错。但是在跟踪DWORD PTR SS:[EBP-14] 上，我不知道怎么处理？

此时EBP=0012FE1C，那我应该如何才能跟踪0012FE1C-14的值？

新人入门，请大大们多多提点下，给点思路？谢谢

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课