精易论坛

标题: call求助 [打印本页]

作者: 不许人间见白头 时间: 2025-3-26 09:35
标题: call求助

push 申请的地址
push 10f83bfc
call 00477560
这样崩溃了

是不是要把MOV ECX,EDI 这句加上啊？ EDI哪里看值啊
新手学习call中

1742952833168.jpg (6.43 KB, 下载次数: 0)

作者: samll88 时间: 2025-3-26 09:35
https://www.bilibili.com/video/BV12w411o7qX/?spm_id_from=333.788.videopod.episodes&vd_source=d1b1c0bbbf23fef4271f0d75a15b7270&p=8

作者: 谁的坏叔叔 时间: 2025-3-26 09:54
这个ecx看起来也像一个必要指针啊

作者: 不许人间见白头 时间: 2025-3-26 10:00

谁的坏叔叔发表于 2025-3-26 09:54
这个ecx看起来也像一个必要指针啊

是啊请教一下怎么弄这一步啊

作者: 黄福寿 时间: 2025-3-26 10:50
进call里面看，你就会看到没有赋值的寄存器了，没有赋值的都要赋值，包括返回值和平栈

作者: 不许人间见白头 时间: 2025-3-26 11:46

黄福寿发表于 2025-3-26 10:50
进call里面看，你就会看到没有赋值的寄存器了，没有赋值的都要赋值，包括返回值和平栈 ...

不懂啊新手啊

作者: 待一季花开 时间: 2025-3-26 13:39
继续往上找EDI的来源，一般就是个jz或者jz+偏移
下个断点，然后CE搜下EDI的地址，有可能直接搜到
或者把EDI添加到CE里然后对地址进行指针扫描，也有可能会搜出来

作者: 不许人间见白头 时间: 2025-3-26 19:01

待一季花开发表于 2025-3-26 13:39
继续往上找EDI的来源，一般就是个jz或者jz+偏移
下个断点，然后CE搜下EDI的地址，有可能直接搜到
或者把EDI ...

方便私信我个Q 我加你

作者: 893236113qq 时间: 2025-3-26 20:19
明显少个 ecx啊, ecx是edi赋值过来的,在mov ecx,edi上下断,看一下edi哪来的跟出来就好了

作者: 不许人间见白头 时间: 2025-3-27 09:44

893236113qq 发表于 2025-3-26 20:19
明显少个 ecx啊, ecx是edi赋值过来的,在mov ecx,edi上下断,看一下edi哪来的跟出来就好了 ...

ecx也加上了还是没反应 EDI是人物jz 已经找出来了

作者: 不许人间见白头 时间: 2025-3-27 09:46

不许人间见白头发表于 2025-3-26 19:01
方便私信我个Q 我加你

ecx也加上了还是没反应 EDI是人物jz 已经找出来了

欢迎光临精易论坛 (https://125.confly.eu.org/)