首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助] 怎么得到 [esp+4]的值.
2009-4-24 14:45 4722

[求助] 怎么得到 [esp+4]的值.

athlor 活跃值
2009-4-24 14:45
4722
0058A1C0   .  8B4424 04     mov     eax, dword ptr [esp+4]           ;  [esp + 4] 的值,怎么可以得到?

0058A1C4   .  8B50 08       mov     edx, dword ptr [eax+8]
0058A1C7   .  85D2          test    edx, edx
0058A1C9   .  75 72         jnz     short 0058A23D
0058A1CB   .  8B10          mov     edx, dword ptr [eax]
0058A1CD   .  81C2 70FEFFFF add     edx, -190                        ;  Switch (cases 190..19E)
0058A1D3   .  83FA 0E       cmp     edx, 0E
0058A1D6   .  77 65         ja      short 0058A23D
0058A1D8   .  FF2495 44A258>jmp     dword ptr [edx*4+58A244]


在调试一个软件,需要得到 [esp+4] 里的值,但esp地址是随机的....
怎么可以得到其中的值呢?  求教各位了.

[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (7)
yets
雪    币: 233
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
yets 2009-4-24 16:55
2
0
这种情况应该是上面肯定有一大段代码算出ESP+4的结果的,而且值肯定也差不多
六月
雪    币: 129
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
六月 2009-4-24 17:52
3
0
mov nTemp,eax
Nisy
雪    币: 167
活跃值: (1544)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
Nisy 5 2009-4-24 23:13
4
0
0058A1C0   .  8B4424 04     mov     eax, dword ptr [esp+4]

该指令之前的指令 决定了ESP-4 从这里入手就什么都有了
方圆科技
雪    币: 86
活跃值: (34)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
私信
方圆科技 3 2009-4-28 22:15
5
0
打补丁可以得到。或者注射一个DLL进去,安装异常,然后0058A1C0 这里写入CC。处理这里的异常即可
xusleep
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xusleep 2009-4-29 09:41
6
0
在OLLYICE寄存器窗口可以看到
潜水员
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
潜水员 2009-4-30 00:18
7
0
正解
nbw
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
nbw 24 2009-4-30 16:39
8
0
可以在那个地方下个钩子啥的截获
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回