独鲨 发表于 2018-2-21 11:30

游戏基止遇到ebp

在找一款游戏的基止遇到了mov eax ,

找ebp的话 ebp会被esp改写
一般来说
push ebp
mov ebp,esp
那么ESP向上找..没法找了.因为ESP在函数调用时压栈

LYQingYe 发表于 2018-2-21 12:52

mov eax , 是局部变量 ,回溯找 调用 CALL, 上面有 push ,然后 再继续跟

独鲨 发表于 2018-2-21 13:48

LYQingYe 发表于 2018-2-21 12:52
mov eax , 是局部变量 ,回溯找 调用 CALL, 上面有 push ,然后 再继续跟

不会弄mov ebp,esp
mov ecx,dword ptr ss:

mov dword ptr ds:,ecx
然后回溯找 调用call
push ebp
mov ebp,esp
push esi
mov esi,dword ptr ss:
mov edx,dword ptr ds:
xor ecx,ecx
push edi
test edx,edx
jbe short Flash32_.53A1573A
mov edi,dword ptr ss:
lea eax,dword ptr ds:
shr eax,1
cmp dword ptr ds:,edi
jnb short Flash32_.53A15734
lea ecx,dword ptr ds:
jmp short Flash32_.53A15736
mov edx,eax
cmp ecx,edx
jb short Flash32_.53A15724
mov eax,dword ptr ds:
mov edx,dword ptr ss:
mov ecx,dword ptr ds:
mov ecx,dword ptr ds:
mov eax,dword ptr ds:
push ecx
mov ecx,esp
and ecx,0x4
sub esp,ecx
push ecx
push edx
mov edx,dword ptr ss:
push edx
push eax
mov eax,dword ptr ds:
call eax          这个调用了call
add esp,0xC
pop ecx
add esp,ecx
pop ecx
pop edi
pop esi
pop ebp
retn
这是一个多处调用的call
毫无头绪



tata 发表于 2018-3-9 02:57

ebp+8 表示call的第一个参数,,不要看retn没有值就以为没有参数,应该是传入了5个参数mov eax,dword ptr ds:这句已经很明显了,esi 是结构的地址
页: [1]
查看完整版本: 游戏基止遇到ebp