首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]关于跟踪ESP的值的问题! 0.00雪花
发表于: 2008-8-3 03:32 3624

[旧帖] [求助]关于跟踪ESP的值的问题! 0.00雪花

geriald 活跃值
2008-8-3 03:32
3624
跟踪到一个CALL为:
00471A22    E8 0D111400     CALL Game.005B2B34
00471A27    8B0D F4816200   MOV ECX,DWORD PTR DS:[6281F4]
00471A2D    50              PUSH EAX
00471A2E    53              PUSH EBX
00471A2F    57              PUSH EDI
00471A30    E8 8B390A00     CALL Game.005153C0

查EAX的值时发现EAX是从CALL Game.005B2B34中传入,跟进后发现:
005B2B34    55              PUSH EBP
005B2B35    8BEC            MOV EBP,ESP
005B2B37    83EC 20         SUB ESP,20
005B2B3A    83E4 F0         AND ESP,FFFFFFF0
005B2B3D    D9C0            FLD ST
005B2B3F    D95424 18       FST DWORD PTR SS:[ESP+18]
005B2B43    DF7C24 10       FISTP QWORD PTR SS:[ESP+10]
005B2B47    DF6C24 10       FILD QWORD PTR SS:[ESP+10]
005B2B4B    8B5424 18       MOV EDX,DWORD PTR SS:[ESP+18]
005B2B4F    8B4424 10       MOV EAX,DWORD PTR SS:[ESP+10]

请教,这个ESP的值怎么确定?

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (4)
geriald
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
查找EBX的值的时候发现:
00471A0D    E8 22111400     CALL Game.005B2B34
00471A12    8B16            MOV EDX,DWORD PTR DS:[ESI]
00471A14    6A 03           PUSH 3
00471A16    52              PUSH EDX
00471A17    8BD8            MOV EBX,EAX
也是从CALL Game.005B2B34中传入

ESP=?
2008-8-3 03:55
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
3
现在的人问问题真难理解.
不然就是我变笨了
2008-8-3 05:08
0
君君寒
雪    币: 6092
活跃值: (654)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
4
我也没看懂  下断运行到这里
ESP 的值 直接看OD的堆栈 和寄存器窗口运行到那里然后就能看到的...
下次把问题
天啊楼主你真的简化的很厉害了
一个问题是由很多部分组成的
你说的越详细
越好
2008-8-3 06:51
0
geriald
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
问得不清楚吗?
MOV ECX,DWORD PTR DS:[6281F4]
就像这样,ECX=[6281F4]
想查出ESP=?
2008-8-3 14:18
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//