[求助]怎么判断CALL距离远不远-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼近CALL还是远CALL，看HEX DUMP那一栏的机器码，第一个字节是CALL的OPCODE，后面的就是偏移量，如果是00000000或00000003这样一些很小的偏移，一般就是陷阱，并不真正的函数调用，需要F7而不能F8；如果偏移值比较大，比如fffffed7或0000023e之类的，通常可以F8过。至于条件跳转，其实很简单，因为它有两条执行路径，用断点封锁其中一条路径，再跟随另一条路径，那么就不会跑飞了。等熟悉了后，对程序的流程就会比较清楚，可以不用这么复杂，比如对于壳的很多循环，可以直接在循环出口处F4。 2009-4-19 23:13 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼怎么会问这种问题对着call按enter不就知道了,往回退是小键盘-号 2009-4-20 07:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼近CALL还是远CALL，看HEX DUMP那一栏的机器码，第一个字节是CALL的OPCODE，后面的就是偏移量，如果是00000000或00000003这样一些很小的偏移，一般就是陷阱，并不真正的函数调用，需要F7而不能F8；如果偏移值比较大，比如fffffed7或0000023e之类的，通常可以F8过。至于条件跳转，其实很简单，因为它有两条执行路径，用断点封锁其中一条路径，再跟随另一条路径，那么就不会跑飞了。等熟悉了后，对程序的流程就会比较清楚，可以不用这么复杂，比如对于壳的很多循环，可以直接在循环出口处F4。 2009-4-19 23:13 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼怎么会问这种问题对着call按enter不就知道了,往回退是小键盘-号 2009-4-20 07:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复