不求结果,只求思路,只想知道原理,满足我的兴趣.

心如死结

push 1
push 5d3d
push 0
push 0
lea ecx,[ebp+0d4]
call 006b6fc0
CALL原型是这样的...
这里有个EBP的值放入ECX的动作....我能CALL出来,但重新开个游戏,就崩溃了..
于是,我试着往上找EBP的值..结果发现
MOV EBP,DWORD PTR SS:[ESP+14]
根据我学过的基础,ESP代表着栈地址....
再往上追下去.根本是徒劳......我感觉应该是找栈地址里面的数据来源才对....但我却没有点头绪..
求分析,,
求思路........不求结果.......只求思路

nichkhun

call下面是否是pop？
如果是的话，你看下你是否跑到了系统领空？你跟的是函数还是dell？别白跟，你给的消息太少了
我想了很久，你查看的那个ecx寄存器可能的情况据我怀疑很有几种
有交流的话，企鹅342300830

一个人来

帮顶，我是菜鸟

wAterLoo

哥们你给出的信息太少了，不过呢，你可以先 查出ESP+14这个单元的值，然后查找所有指向这个值的地址，然后再进行分析

心如死结

:$后来我想了又想,我不一定非要找ESP的来源....因为他是一个指针,指向的是堆栈地址.

结果,我试着返回上一层,然后一个一个测试PUSH ,最后发现了,其中一个PUSH 了该ESP的值....

成功的解决了问题...
后来,我还发现一个思路,那就是,用CE 直接搜索ESP的值,直接查来源即可...