[求助]如何确定断点和算法CAL的所在位置。-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 2 楼难道没有一位前辈愿意帮我吗/ 2007-2-24 22:12 0
kanxue 雪币： 58782 活跃值： (21915) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 614 关注私信	kanxue 8 3 楼最初由杜杜哎哟* 发布* :0050C783 E8EC260000 call 0050EE74 算法call，跟进去 :0050C788 8BD8 mov ebx, eax :0050C78A 8B45FC mov eax, dword ptr [ebp-04] :0050C78D E84ACDEFFF call 004094DC :0050C792 3BD8 cmp ebx, eax 这里ebx的十六进制是真码 :0050C794 0F8581000000 jne 0050C81B ★★★这里跳向死亡★★★ ........ 从上面可知，这句 cmp ebx, eax 很关键，ebx和eax值是我们所关心的，你现在必须知道这2个值是从哪来的。一般的函数调用，即CALL其返回值是通过EAX返回的。因此:0050C783 call 0050EE74 这句关键，跟进去分析其EAX中的值是如何计算出来的。 2007-2-25 09:30 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 4 楼也就是说 cmp ebx, eax的 EAX是由 :0050C788 8BD8 mov ebx, eax :0050C78A 8B45FC mov eax, dword ptr [ebp-04] 这个两个送给cmp ebx, eax的 EAX的而 :0050C788 和:0050C78A 的EAX是由他们上面的CALL计算的由此判断出:0050C783 E8EC260000 call 0050EE74 是算法CALL 是这样吗 2007-2-25 11:54 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 5 楼我也不知道怎么分析的请大侠看看我分析的对不对 :0050C783 E8EC260000 call 0050EE74 算法call，跟进去 :0050C788 8BD8 mov ebx, eax 这里的EAX是上面的CALL给的然后把EAX的真码给EBX :0050C78A 8B45FC mov eax, dword ptr [ebp-04] 这里又是什么？ :0050C78D E84ACDEFFF call 004094DC 得到假码给EAX :0050C792 3BD8 cmp ebx, eax 这里真假码比较这里ebx的十六进制是真码 :0050C794 0F8581000000 jne 0050C81B ★★★这里跳向死亡★★★ 2007-2-25 12:54 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 6 楼 skllskll 请问你是在什么地方下的断点呢？我现在就这里不明白咯 2007-2-25 13:08 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 7 楼当然是关键CALL下断啦 2007-2-25 13:19 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 8 楼 0050C78D E84ACDEFFF call 004094DC 在这下的是吗？但是，在这下F8会向下啊，按方向键的话，看不到寄存器的变化。应该是在算法CALL上面的某一处下断才是啊。・・ 2007-2-25 19:37 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 9 楼啊不会用OD呀 F7跟进CALL呀 2007-2-25 20:02 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 10 楼 :0050C776 E8355FF3FF call 004426B0 :0050C77B 8B45F0 mov eax, dword ptr [ebp-10] 机器码送eax :0050C77E E859CDEFFF call 004094DC 把机器码转换成十六进制要知道上面这两行代码的意思就必须在他们是面下断运行后看寄存器才知道啊 :0050C78D E84ACDEFFF call 004094DC //关键CALL :0050C792 3BD8 cmp ebx, eax 这里真假码比较这里ebx的十六进制是真码 :0050C794 0F8581000000 jne 0050C81B ★★★这里跳向死亡★★★ 如果是在上面的关键CALL下断并F7跟进的话，怎么会看到 :0050C77B 8B45F0 mov eax, dword ptr [ebp-10] 机器码送eax :0050C77E E859CDEFFF call 004094DC 把机器码转换成十六进制这两行的作用呢？就卡在这了，明白这点就全明白咯。嘿嘿，麻烦再帮下忙，谢咯！请问你的QQ是。。。。。。 2007-2-25 21:25 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 11 楼 :0050C783 E8EC260000 call 0050EE74 算法call，跟进去 2007-2-25 21:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 2 楼难道没有一位前辈愿意帮我吗/ 2007-2-24 22:12 0
kanxue 雪币： 58782 活跃值： (21915) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 614 关注私信	kanxue 8 3 楼最初由杜杜哎哟* 发布* :0050C783 E8EC260000 call 0050EE74 算法call，跟进去 :0050C788 8BD8 mov ebx, eax :0050C78A 8B45FC mov eax, dword ptr [ebp-04] :0050C78D E84ACDEFFF call 004094DC :0050C792 3BD8 cmp ebx, eax 这里ebx的十六进制是真码 :0050C794 0F8581000000 jne 0050C81B ★★★这里跳向死亡★★★ ........ 从上面可知，这句 cmp ebx, eax 很关键，ebx和eax值是我们所关心的，你现在必须知道这2个值是从哪来的。一般的函数调用，即CALL其返回值是通过EAX返回的。因此:0050C783 call 0050EE74 这句关键，跟进去分析其EAX中的值是如何计算出来的。 2007-2-25 09:30 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 4 楼也就是说 cmp ebx, eax的 EAX是由 :0050C788 8BD8 mov ebx, eax :0050C78A 8B45FC mov eax, dword ptr [ebp-04] 这个两个送给cmp ebx, eax的 EAX的而 :0050C788 和:0050C78A 的EAX是由他们上面的CALL计算的由此判断出:0050C783 E8EC260000 call 0050EE74 是算法CALL 是这样吗 2007-2-25 11:54 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 5 楼我也不知道怎么分析的请大侠看看我分析的对不对 :0050C783 E8EC260000 call 0050EE74 算法call，跟进去 :0050C788 8BD8 mov ebx, eax 这里的EAX是上面的CALL给的然后把EAX的真码给EBX :0050C78A 8B45FC mov eax, dword ptr [ebp-04] 这里又是什么？ :0050C78D E84ACDEFFF call 004094DC 得到假码给EAX :0050C792 3BD8 cmp ebx, eax 这里真假码比较这里ebx的十六进制是真码 :0050C794 0F8581000000 jne 0050C81B ★★★这里跳向死亡★★★ 2007-2-25 12:54 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 6 楼 skllskll 请问你是在什么地方下的断点呢？我现在就这里不明白咯 2007-2-25 13:08 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 7 楼当然是关键CALL下断啦 2007-2-25 13:19 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 8 楼 0050C78D E84ACDEFFF call 004094DC 在这下的是吗？但是，在这下F8会向下啊，按方向键的话，看不到寄存器的变化。应该是在算法CALL上面的某一处下断才是啊。・・ 2007-2-25 19:37 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 9 楼啊不会用OD呀 F7跟进CALL呀 2007-2-25 20:02 0
杜杜哎哟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	杜杜哎哟 10 楼 :0050C776 E8355FF3FF call 004426B0 :0050C77B 8B45F0 mov eax, dword ptr [ebp-10] 机器码送eax :0050C77E E859CDEFFF call 004094DC 把机器码转换成十六进制要知道上面这两行代码的意思就必须在他们是面下断运行后看寄存器才知道啊 :0050C78D E84ACDEFFF call 004094DC //关键CALL :0050C792 3BD8 cmp ebx, eax 这里真假码比较这里ebx的十六进制是真码 :0050C794 0F8581000000 jne 0050C81B ★★★这里跳向死亡★★★ 如果是在上面的关键CALL下断并F7跟进的话，怎么会看到 :0050C77B 8B45F0 mov eax, dword ptr [ebp-10] 机器码送eax :0050C77E E859CDEFFF call 004094DC 把机器码转换成十六进制这两行的作用呢？就卡在这了，明白这点就全明白咯。嘿嘿，麻烦再帮下忙，谢咯！请问你的QQ是。。。。。。 2007-2-25 21:25 0
skllskll 雪币： 199 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 48 粉丝 0 关注私信	skllskll 11 楼 :0050C783 E8EC260000 call 0050EE74 算法call，跟进去 2007-2-25 21:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复