[求助]为什么用od把一部分代码跳转到零区域执行，结果会不一样-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 2 楼高手们帮帮小弟，真的是很困惑。 2009-4-25 22:14 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼零区域是什么空白内存吗 2009-4-25 22:26 0
静慕者雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 195 粉丝 0 关注私信	静慕者 4 楼我也发现经常修改源代码jmp到一个空白的地方，写点东西后，跳回来运行几个函数就会出错，是把堆栈给冲了吗？~~想不通~~修改optional header里的sizeofstackreserve可以增加堆栈大小不？~~ 2009-4-25 22:44 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 5 楼注意保存堆栈的数据，保证平衡就没事。 2009-4-26 10:01 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 6 楼不好意思，我是新手，请问怎么保证堆栈平衡？ 2009-4-26 13:28 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 7 楼听说要先push add,在pop add？这里的address指的是哪里的地址？ 2009-4-26 13:39 0
鸡蛋面雪币： 5 活跃值： (506) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 8 楼是保存寄存器和堆栈的内容并不是保存地址，用pushad吧，这个操作数能保存所有寄存器的内容；而对于堆栈的内容就是把你自已手动入栈的东西在执行完函数之后让他出栈，也就是说要保证在执行完函数之后堆栈的内容和顺序与函数执行前一样。我也是新手可能有不少地方说错了，这只是我个人的理解，希望高手帮我把错误指出来 2009-4-26 16:07 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 9 楼看样子你跳到了导入表的位置。应该在代码段的尾部找空白空间，而不是随便找个用0填充的位置都可以。 2009-4-26 21:55 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 10 楼多谢多谢，但是我还是不明白，pushad和popad应该在哪里用？是先pushad，然后jmp到零区域，运行完后jmp回来，然后popad么？这样还是不行啊 2009-4-30 20:39 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 11 楼那也仅仅是保存现场，你跳出去之后，push多少，就要pop多少，也就是跳前后堆栈不能改变 2009-4-30 21:08 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 12 楼我跳出去后没有用push啊，就是这样的几句 004026EE \|. FF15 A4304000 CALL DWORD PTR DS:[<&MSVCRT.exit>] ; \exit 004026F4 \|. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] 004026F7 \|. 8B08 MOV ECX,DWORD PTR DS:[EAX] 004026F9 \|. 8B09 MOV ECX,DWORD PTR DS:[ECX] 顺便问一下。在哪里pop？push完马上pop？还是跳转回来之后再pop 2009-4-30 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 2 楼高手们帮帮小弟，真的是很困惑。 2009-4-25 22:14 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼零区域是什么空白内存吗 2009-4-25 22:26 0
静慕者雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 195 粉丝 0 关注私信	静慕者 4 楼我也发现经常修改源代码jmp到一个空白的地方，写点东西后，跳回来运行几个函数就会出错，是把堆栈给冲了吗？~~想不通~~修改optional header里的sizeofstackreserve可以增加堆栈大小不？~~ 2009-4-25 22:44 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 5 楼注意保存堆栈的数据，保证平衡就没事。 2009-4-26 10:01 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 6 楼不好意思，我是新手，请问怎么保证堆栈平衡？ 2009-4-26 13:28 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 7 楼听说要先push add,在pop add？这里的address指的是哪里的地址？ 2009-4-26 13:39 0
鸡蛋面雪币： 5 活跃值： (506) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 8 楼是保存寄存器和堆栈的内容并不是保存地址，用pushad吧，这个操作数能保存所有寄存器的内容；而对于堆栈的内容就是把你自已手动入栈的东西在执行完函数之后让他出栈，也就是说要保证在执行完函数之后堆栈的内容和顺序与函数执行前一样。我也是新手可能有不少地方说错了，这只是我个人的理解，希望高手帮我把错误指出来 2009-4-26 16:07 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 9 楼看样子你跳到了导入表的位置。应该在代码段的尾部找空白空间，而不是随便找个用0填充的位置都可以。 2009-4-26 21:55 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 10 楼多谢多谢，但是我还是不明白，pushad和popad应该在哪里用？是先pushad，然后jmp到零区域，运行完后jmp回来，然后popad么？这样还是不行啊 2009-4-30 20:39 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 11 楼那也仅仅是保存现场，你跳出去之后，push多少，就要pop多少，也就是跳前后堆栈不能改变 2009-4-30 21:08 0
RUTheOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	RUTheOne 12 楼我跳出去后没有用push啊，就是这样的几句 004026EE \|. FF15 A4304000 CALL DWORD PTR DS:[<&MSVCRT.exit>] ; \exit 004026F4 \|. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] 004026F7 \|. 8B08 MOV ECX,DWORD PTR DS:[EAX] 004026F9 \|. 8B09 MOV ECX,DWORD PTR DS:[ECX] 顺便问一下。在哪里pop？push完马上pop？还是跳转回来之后再pop 2009-4-30 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复