网站 › 『=悬赏求助=』 › 求问 mov exa, 00425XXX 这个后面地址是怎么换算的？

cqs455832 发表于 2018-5-4 12:07

求问 mov exa, 00425XXX 这个后面地址是怎么换算的？

这是没有修改之前的代码

00425A05    55            push ebp                                 ; mov eax,00425A0C
00425A06    8BEC            mov ebp,esp
00425A08    81EC 80000000   sub esp,0x80
00425A0E    C745 FC 0000000>mov dword ptr ss:,0x0
00425A15    C745 F8 0000000>mov dword ptr ss:,0x0
00425A1C    C745 F4 0000000>mov dword ptr ss:,0x0
00425A23    C745 F0 0000000>mov dword ptr ss:,0x0
00425A2A    C745 EC 0000000>mov dword ptr ss:,0x0
00425A31    C745 E8 0000000>mov dword ptr ss:,0x0



这是修改之后的代码

00425A05    B8 0C5A4200   mov eax,窗口.00425A0C                   ; mov eax,00425A0C
00425A0A^ EB F5         jmp short 窗口.00425A01
00425A0C    3333            xor esi,dword ptr ds:
00425A0E    3333            xor esi,dword ptr ds:
00425A10    3333            xor esi,dword ptr ds:
00425A12    3333            xor esi,dword ptr ds:


求问 这个橙色代码跟红色 代码有什么关联吗》？？


xor esi,dword ptr ds: 这句代码是什么意思？？

cmp byte ptr ds:,bh这句代码是什么意思？？


小白 刚接触逆向 一个大佬给的逆向数据 有点蒙蔽 一般大佬都很忙 没时间解释那么多 只能求助论坛各位大佬了

24小时在线等 困惑我好长时间了

狐白小刺客 发表于 2018-5-4 12:31

mov   eax,0x425A0C EAX=0x425A0C
赋值到寄存器
xor   esi,dword ptr ds:
当前寄存器ESI=0x？   //ESI=0x？^0x0
cmp   byte ptr ds:,bh
则ZF=0   //DS段=0x0;BH=0xE0

cqs455832 发表于 2018-5-4 12:43

狐白小刺客 发表于 2018-5-4 12:31
mov   eax,0x425A0C EAX=0x425A0C
赋值到寄存器
xor   esi,dword ptr ds:


大佬那这个赋值的这个值 是怎么来的 是在反汇编里面找的还是通过地址计算出来的？

狐白小刺客 发表于 2018-5-4 12:47

cqs455832 发表于 2018-5-4 12:43
大佬那这个赋值的这个值 是怎么来的 是在反汇编里面找的还是通过地址计算出来的？

mov eax1这段代码就是是将立即数1移入EAX中，执行该指令后 EAX = 1 也就是寄存器
mov eax，xxxx也是根据上面一样的思路
我们所看到的mov eax 是OD简化的 真正代码是mov eax, dword ptr ds:
多看看汇编语言

cqs455832 发表于 2018-5-4 13:13

狐白小刺客 发表于 2018-5-4 12:47
mov eax1这段代码就是是将立即数1移入EAX中，执行该指令后 EAX = 1 也就是寄存器
mov eax，xxxx也是 ...

恩恩最近 正在学我懂您说的赋值到 EAX 这个意思 只是 不理解 这个XXX（00425A0C）是怎么来的，请原谅我这个小白问得无知问题{:5_126:}

一曲婉婷 发表于 2018-5-4 14:04

红色代码:
                1.00425A05是PE文件被系统加载到内存时的一个内存地址
                        当前也是 mov eax,窗口.00425A0C 这条指令的地址
                        当Eip寄存器存储并指向这个地址时,cpu将执行这条指令
                        通常这个地址是通过加载基址+该条指令在代码段中的偏移计算出来的

橙色代码:
                1.作用和性质同红色代码一样,同样指向一条汇编代码.
                        只不过这里是作为操作数赋值到了Eax中.

Xor Cmp指令意思可以百度,或者下载汇编指令查询器查询.

以上内容实际涉及了挺多知识,建议楼主可以先熟悉常用汇编指令,和OD等工具的使用在看其它的.

一曲婉婷 发表于 2018-5-4 14:06

记得结贴给分哦{:6_198:}

cqs455832 发表于 2018-5-4 14:12

一曲婉婷 发表于 2018-5-4 14:04
红色代码:
                1.00425A05是PE文件被系统加载到内存时的一个内存地址
                        当前也是 mov eax,窗口.00425A0C...

我感觉我被我自己的描述 搞的稀里糊涂 简单点吧 就是 一个大佬给了我一个软件的逆向数据 但是那个软件更新了 我就通过二进制 又重新找到了对应的补丁位置前3个都搞定了 因为没有涉及到 这个exa数据这最后一个 这个mov exa xxxxxx这个值 我不知道该填什么，所以想了解一下这个值是怎么获取到的 大佬你能理解我这个乱七八糟的描述吗

cqs455832 发表于 2018-5-4 14:15

一曲婉婷 发表于 2018-5-4 14:04
红色代码:
                1.00425A05是PE文件被系统加载到内存时的一个内存地址
                        当前也是 mov eax,窗口.00425A0C...

我被我自己描述 搞糊涂了 简单一点

就是一个人给了我一个补丁数据

然后对应的那个软件 升级了

我用二进制字符串找到了对应的位置了

可是这个mov exa 00425A0C 不知道改成什么

所以想了解一下这个值如何获得，就这么简单{:5_185:}

黑刀 发表于 2018-5-4 14:20

一曲婉婷 发表于 2018-5-4 14:04
红色代码:
                1.00425A05是PE文件被系统加载到内存时的一个内存地址
                        当前也是 mov eax,窗口.00425A0C...

我很赞同，说的好！

查看完整版本: 求问 mov exa, 00425XXX 这个后面地址是怎么换算的？