[求助]求助这段汇编代码用义(代码不长)-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]求助这段汇编代码用义(代码不长)

发表于: 2009-5-4 10:27 2833

[求助]求助这段汇编代码用义(代码不长)

netcncoma

2009-5-4 10:27

2833

分析一个驱动,看到这段频繁出现的汇编代码,分别出现在函数头,和函数尾.

函数头部
mov    edi, edi
push ebp
mov    ebp, esp
sub    esp, 120h
mov    eax, g_unkvalue //这边开始不懂
xor    eax, ebp
mov    [ebp+var_4], eax

对应的函数尾部
mov    ecx, [ebp+var_4]
xor    ecx, ebp
..........
call ds:KeBugCheckEx
leave
retn x

可能写得不完整,但不知道高手们有没有遇到类似的说下具体含义!谢谢了!

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (2)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼这就是用来检测堆栈，防止溢出的。 2009-5-4 12:58 0
jagen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jagen 3 楼 mov edi, edi push ebp mov ebp, esp sub esp, 120h mov eax, g_unkvalue xor eax, ebp mov [ebp+var_4], eax // 初始堆栈校验值。对应的函数尾部 mov ecx, [ebp+var_4] // 判断堆栈校验值。 xor ecx, ebp // 一旦发生变化，即说明有栈溢出。 .......... call ds:KeBugCheckEx leave retn x 2009-5-4 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

netcncoma

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼这就是用来检测堆栈，防止溢出的。 2009-5-4 12:58 0
jagen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jagen 3 楼 mov edi, edi push ebp mov ebp, esp sub esp, 120h mov eax, g_unkvalue xor eax, ebp mov [ebp+var_4], eax // 初始堆栈校验值。对应的函数尾部 mov ecx, [ebp+var_4] // 判断堆栈校验值。 xor ecx, ebp // 一旦发生变化，即说明有栈溢出。 .......... call ds:KeBugCheckEx leave retn x 2009-5-4 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复