[原创]ESP定律背后的原理之一：0x12FFC4，为什么是这个数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 2 楼函数我还沒弄个清楚.. 只能顶了 2008-2-5 16:22 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 3 楼 http://bbs.pediy.com/showthread.php?t=20366 注意：并不是所有程序加载时，ESP的值是0012FFC4，这个值是什么由操作系统决定，将SizeOfStackCOmmit改大ESP就会变，这是因为操作系统从这个页向上找一个足够大地方当作stack了（感谢forgot解释）。 2008-2-5 17:21 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 4 楼－－－－－－－－－－－－－－－－－－－注意：并不是所有程序加载时，ESP的值是0012FFC4，这个值是什么由操作系统决定，将SizeOfStackCOmmit改大ESP就会变，这是因为操作系统从这个页向上找一个足够大地方当作stack了（感谢forgot解释）。－－－－－－－－－－－－－－－－－－－我曾仔细看过这段话，正是这句话引发了我探究的兴趣，这句话的错误在于错误理解了域SizeOfStackCommit, SizeOfStackReserve的作用，SizeOfStackCommit表示提交到物理内存的虚拟内存的大小，SizeOfStackReserve表示分配给当前程序的大小，注意是大小，不是地址。它们决定了程序初始化时堆栈空间的Commited内存的大小和Reserved内存的大小，但不是地址。堆栈空间的顶端的值是否固定，我没有逆向windows，所以没有发言权，但不管堆栈空间的顶端是0x00130000，还是0x00120000，还是0x00110000，只要这里我提到的几个函数的源代码实现不变，最后几位的值就不会变：0x0012FFC4, 0x0011FFC4, 0x0010FFC4。 2008-2-5 22:37 0
maokecheng 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 65 粉丝 0 关注私信	maokecheng 5 楼不是所有的程序吧,00112ffc4 0012ffc0 0013ffc0我就碰到国 2008-2-5 22:44 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 6 楼操作系统的不同，源代码的实现有可能不同，这个值有可能不同。这个道理，我在文章中说明了。 2K, XP, Vista, Checked Version, Free Version都有可能不同。我明白你们的意思，我写下来只是想弄清楚在堆栈上面到底存储了些什么东西。并不是探讨堆栈的顶端是否固定的问题。 2008-2-5 22:55 0
发烧cyrix 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	发烧cyrix 7 楼我早就有这样的疑问了，到今天也弄不清楚。 2008-2-6 00:40 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 8 楼感谢分享心得，有规律的背后必有其原理性，学习你这深究的学习态度。 2008-2-7 10:56 0
zenner 雪币： 110 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	zenner 9 楼栈顶应该是不固定的,不然ESP怎么会一直在变,应该是栈底是否是固定的,以前我也有过这样的疑问,一直纠结于这个问题,这个是操作系统分配管理的了,反正咱们不需要知道栈底地址是否固定,是在哪,PUSH的时候就进栈,POP就出来,知道不知道栈底无所谓了...... 堆栈里存的是本地变量,函数返回地址等新手,说错了的地方请大家指正,以免误导! 2011-9-6 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 2 楼函数我还沒弄个清楚.. 只能顶了 2008-2-5 16:22 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 3 楼 http://bbs.pediy.com/showthread.php?t=20366 注意：并不是所有程序加载时，ESP的值是0012FFC4，这个值是什么由操作系统决定，将SizeOfStackCOmmit改大ESP就会变，这是因为操作系统从这个页向上找一个足够大地方当作stack了（感谢forgot解释）。 2008-2-5 17:21 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 4 楼－－－－－－－－－－－－－－－－－－－注意：并不是所有程序加载时，ESP的值是0012FFC4，这个值是什么由操作系统决定，将SizeOfStackCOmmit改大ESP就会变，这是因为操作系统从这个页向上找一个足够大地方当作stack了（感谢forgot解释）。－－－－－－－－－－－－－－－－－－－我曾仔细看过这段话，正是这句话引发了我探究的兴趣，这句话的错误在于错误理解了域SizeOfStackCommit, SizeOfStackReserve的作用，SizeOfStackCommit表示提交到物理内存的虚拟内存的大小，SizeOfStackReserve表示分配给当前程序的大小，注意是大小，不是地址。它们决定了程序初始化时堆栈空间的Commited内存的大小和Reserved内存的大小，但不是地址。堆栈空间的顶端的值是否固定，我没有逆向windows，所以没有发言权，但不管堆栈空间的顶端是0x00130000，还是0x00120000，还是0x00110000，只要这里我提到的几个函数的源代码实现不变，最后几位的值就不会变：0x0012FFC4, 0x0011FFC4, 0x0010FFC4。 2008-2-5 22:37 0
maokecheng 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 65 粉丝 0 关注私信	maokecheng 5 楼不是所有的程序吧,00112ffc4 0012ffc0 0013ffc0我就碰到国 2008-2-5 22:44 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 6 楼操作系统的不同，源代码的实现有可能不同，这个值有可能不同。这个道理，我在文章中说明了。 2K, XP, Vista, Checked Version, Free Version都有可能不同。我明白你们的意思，我写下来只是想弄清楚在堆栈上面到底存储了些什么东西。并不是探讨堆栈的顶端是否固定的问题。 2008-2-5 22:55 0
发烧cyrix 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	发烧cyrix 7 楼我早就有这样的疑问了，到今天也弄不清楚。 2008-2-6 00:40 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 8 楼感谢分享心得，有规律的背后必有其原理性，学习你这深究的学习态度。 2008-2-7 10:56 0
zenner 雪币： 110 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	zenner 9 楼栈顶应该是不固定的,不然ESP怎么会一直在变,应该是栈底是否是固定的,以前我也有过这样的疑问,一直纠结于这个问题,这个是操作系统分配管理的了,反正咱们不需要知道栈底地址是否固定,是在哪,PUSH的时候就进栈,POP就出来,知道不知道栈底无所谓了...... 堆栈里存的是本地变量,函数返回地址等新手,说错了的地方请大家指正,以免误导! 2011-9-6 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复