在代码注入器调用一个带参数的CALL
OD截取的CALL代码段000627E9 8B45 F0 mov eax,dword ptr ss:
000627EC 66:8B4D 08 mov cx,word ptr ss:
000627F0 66:8988 DE00000>mov word ptr ds:,cx
000627F7 8B45 F0 mov eax,dword ptr ss:
000627FA 66:8B4D 0C mov cx,word ptr ss:
000627FE 66:8988 E000000>mov word ptr ds:,cx
00062805 8B45 F0 mov eax,dword ptr ss:
00062808 66:C780 E200000>mov word ptr ds:,0xFFFF
00062811 8D85 00F9FFFF lea eax,dword ptr ss:
00062817 50 push eax
00062818 66:8B4D 0C mov cx,word ptr ss:
0006281C 51 push ecx
0006281D 66:8B55 08 mov dx,word ptr ss:
00062821 52 push edx
00062822 8B4D F0 mov ecx,dword ptr ss:
00062825 E8 56F4FFFF call 00061C80 (这行就是目标CALL)
0006282A B0 01 mov al,0x1
0006282C 8B4D F4 mov ecx,dword ptr ss:
0006282F 64:890D 0000000>mov dword ptr fs:,ecx
00062836 5F pop edi
00062837 5E pop esi
00062838 5B pop ebx
00062839 8BE5 mov esp,ebp
初学 对汇编没有什么基础请问如何看出有多少个参数
另外怎么用代码注入器 模拟这个CALL
会的话跟帖留言有RMB悬赏 可以加Q联系 谢谢
不太懂 这些 新手观察,不懂 多少个参数的话你进call看 ret的操作数是多少 然后/4=参数个数 目测ecx为附加参数 不懂可以加q详聊 如果没下断的话,真正参数可能就3个,你需要返回头部查看
页:
[1]