首页
社区
课程
招聘
[求助] 怎么得到 [esp+4]的值.
发表于: 2009-4-24 14:45 5196

[求助] 怎么得到 [esp+4]的值.

2009-4-24 14:45
5196
0058A1C0   .  8B4424 04     mov     eax, dword ptr [esp+4]           ;  [esp + 4] 的值,怎么可以得到?

0058A1C4   .  8B50 08       mov     edx, dword ptr [eax+8]
0058A1C7   .  85D2          test    edx, edx
0058A1C9   .  75 72         jnz     short 0058A23D
0058A1CB   .  8B10          mov     edx, dword ptr [eax]
0058A1CD   .  81C2 70FEFFFF add     edx, -190                        ;  Switch (cases 190..19E)
0058A1D3   .  83FA 0E       cmp     edx, 0E
0058A1D6   .  77 65         ja      short 0058A23D
0058A1D8   .  FF2495 44A258>jmp     dword ptr [edx*4+58A244]



在调试一个软件,需要得到 [esp+4] 里的值,但esp地址是随机的....
怎么可以得到其中的值呢?  求教各位了.

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 233
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这种情况应该是上面肯定有一大段代码算出ESP+4的结果的,而且值肯定也差不多
2009-4-24 16:55
0
雪    币: 129
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mov nTemp,eax
2009-4-24 17:52
0
雪    币: 167
活跃值: (1574)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
4
0058A1C0   .  8B4424 04     mov     eax, dword ptr [esp+4]

该指令之前的指令 决定了ESP-4 从这里入手就什么都有了
2009-4-24 23:13
0
雪    币: 86
活跃值: (34)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
5
打补丁可以得到。或者注射一个DLL进去,安装异常,然后0058A1C0 这里写入CC。处理这里的异常即可
2009-4-28 22:15
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
在OLLYICE寄存器窗口可以看到
2009-4-29 09:41
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
正解
2009-4-30 00:18
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
8
可以在那个地方下个钩子啥的截获
2009-4-30 16:39
0
游客
登录 | 注册 方可回帖
返回
//