[求助]关于EIP问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼还真没注意过这个问题。。。 2008-2-16 00:34 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼我也很想知道答案，一般我用IDA分析下得到。但如果在softICE中这还真是个问题。 2008-2-16 09:35 0
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 4 楼 OD可以用Run trace功能，将执行过的指令记录下来。 2008-2-16 09:50 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 5 楼有个网络程序用bp send等等都断不了在OD下通过查看可执行模块找到ws2_32.dll里的send（）处下断当运行程序后 OD会在ws2_32.dll模块里停住那么EIP显示的上一个地址是不是调用send处？？？？？？ 2008-2-16 15:33 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 6 楼 Run trace是很好，不过那样做太费事了吧，还有更好的方法没了，期待啊。 2008-2-16 16:06 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 7 楼查看堆栈窗口, OD已经明确指示了返回到各级父函数地址, 找到靠栈顶最近的一个返回到用户代码处地址就是的了 2008-2-16 16:14 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 8 楼楼上说的是不是这个由于协议封装在DLL里每次加载DLL 地址又都不相同想动态分析协议加密过程该如何是好真让人头疼上传的附件： A.jpg （14.45kb，62次下载） 2008-2-17 00:43 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 9 楼用脚本控制OD运行，就不怕DLL的加载地址不相同了 2008-2-17 22:56 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 10 楼没有，因为数据和指令的二义性，你永远只能知道下一条指令是什么即使是CALL指令，保存的也是下一条指令的指针 2008-2-18 11:20 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 11 楼即便DLL被加载也无法看到send 只有当程序运行以后才能看到send函数像这样的情况如何断send 2008-2-19 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼还真没注意过这个问题。。。 2008-2-16 00:34 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼我也很想知道答案，一般我用IDA分析下得到。但如果在softICE中这还真是个问题。 2008-2-16 09:35 0
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 4 楼 OD可以用Run trace功能，将执行过的指令记录下来。 2008-2-16 09:50 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 5 楼有个网络程序用bp send等等都断不了在OD下通过查看可执行模块找到ws2_32.dll里的send（）处下断当运行程序后 OD会在ws2_32.dll模块里停住那么EIP显示的上一个地址是不是调用send处？？？？？？ 2008-2-16 15:33 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 6 楼 Run trace是很好，不过那样做太费事了吧，还有更好的方法没了，期待啊。 2008-2-16 16:06 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 7 楼查看堆栈窗口, OD已经明确指示了返回到各级父函数地址, 找到靠栈顶最近的一个返回到用户代码处地址就是的了 2008-2-16 16:14 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 8 楼楼上说的是不是这个由于协议封装在DLL里每次加载DLL 地址又都不相同想动态分析协议加密过程该如何是好真让人头疼上传的附件： A.jpg （14.45kb，62次下载） 2008-2-17 00:43 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 9 楼用脚本控制OD运行，就不怕DLL的加载地址不相同了 2008-2-17 22:56 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 10 楼没有，因为数据和指令的二义性，你永远只能知道下一条指令是什么即使是CALL指令，保存的也是下一条指令的指针 2008-2-18 11:20 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 11 楼即便DLL被加载也无法看到send 只有当程序运行以后才能看到send函数像这样的情况如何断send 2008-2-19 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复