[讨论]如何在一个函数A的内部设法知道是哪个函数调用该A函数！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 2 楼 use dbghelp.dll to get the stack 2009-9-18 08:35 0
bootdisk 雪币： 218 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	bootdisk 3 楼从堆栈里检查返回地址如何？ 2009-9-18 08:38 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 4 楼在一个函数内部怎么会得到呢？在外部还差不多 IDA好像有这样的功能，但应该不是在内部 2009-9-18 09:36 0
verybigbug 雪币： 153 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 0 关注私信	verybigbug 5 楼有这样的需求？ 2009-9-18 10:40 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 6 楼看堆栈啊 ======= 2009-9-18 13:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼使用栈回溯…… 2009-9-18 21:44 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼 [ebp+4]就是返回地址啊，判断下范围不就行了~ 2009-9-18 21:47 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 9 楼 [QUOTE=achillis;688496][ebp+4]就是返回地址啊，判断下范围不就行了~[/QUOTE] 栈回溯已经久仰大名了，不过还一直没空去研究有个疑问一直在心里,如果回溯徒中有不使用ebp寻址而直接使用esp的,有没有什么技巧可以应对? 2009-9-19 09:03 0
wyqzm 雪币： 256 活跃值： (753) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 169 粉丝 1 关注私信	wyqzm 1 10 楼不太明白楼上说的是什么意思? 2009-9-19 12:13 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 11 楼可能是我的描述有问题, 一般进入一个函数的时候,是因为有 push ebp mov ebp, esp 这2句代码,所以可以用[ebp + 4]得到return地址, 但是有的函数是没有这2句的,然后函数内部访问调用参数时,是直接 [esp + xxx], 而这样的函数里,用[ebp+4]就得不到正确的返回地址了,有没有什么好的技巧? 2009-9-19 22:32 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 12 楼这个最专业，支持楼主用这种方式。 2009-9-19 22:54 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 13 楼一般来说就是堆栈吧通用的办法是没有的。你得看看你的编译器把代码编译成什么样，才能针对这点取得地址 2009-9-20 14:01 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 14 楼 morning 这个dbghelp.dll 是怎么用的? 2009-9-20 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 2 楼 use dbghelp.dll to get the stack 2009-9-18 08:35 0
bootdisk 雪币： 218 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	bootdisk 3 楼从堆栈里检查返回地址如何？ 2009-9-18 08:38 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 4 楼在一个函数内部怎么会得到呢？在外部还差不多 IDA好像有这样的功能，但应该不是在内部 2009-9-18 09:36 0
verybigbug 雪币： 153 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 0 关注私信	verybigbug 5 楼有这样的需求？ 2009-9-18 10:40 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 6 楼看堆栈啊 ======= 2009-9-18 13:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼使用栈回溯…… 2009-9-18 21:44 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼 [ebp+4]就是返回地址啊，判断下范围不就行了~ 2009-9-18 21:47 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 9 楼 [QUOTE=achillis;688496][ebp+4]就是返回地址啊，判断下范围不就行了~[/QUOTE] 栈回溯已经久仰大名了，不过还一直没空去研究有个疑问一直在心里,如果回溯徒中有不使用ebp寻址而直接使用esp的,有没有什么技巧可以应对? 2009-9-19 09:03 0
wyqzm 雪币： 256 活跃值： (753) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 169 粉丝 1 关注私信	wyqzm 1 10 楼不太明白楼上说的是什么意思? 2009-9-19 12:13 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 11 楼可能是我的描述有问题, 一般进入一个函数的时候,是因为有 push ebp mov ebp, esp 这2句代码,所以可以用[ebp + 4]得到return地址, 但是有的函数是没有这2句的,然后函数内部访问调用参数时,是直接 [esp + xxx], 而这样的函数里,用[ebp+4]就得不到正确的返回地址了,有没有什么好的技巧? 2009-9-19 22:32 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 12 楼这个最专业，支持楼主用这种方式。 2009-9-19 22:54 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 13 楼一般来说就是堆栈吧通用的办法是没有的。你得看看你的编译器把代码编译成什么样，才能针对这点取得地址 2009-9-20 14:01 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 14 楼 morning 这个dbghelp.dll 是怎么用的? 2009-9-20 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复