首页>编程与逆向>黑客反汇编之 asm2c>老大们出来帮忙看一段汇编:
回复
« 返回列表
zheng5735
zheng5735
驱动牛犊
驱动牛犊
  • 注册日期2006-03-10
  • 最后登录2012-12-05
  • 粉丝1
  • 关注0
  • 积分939分
  • 威望127点
  • 贡献值0点
  • 好评度95点
  • 原创分0分
  • 专家分0分
写私信
阅读:3206回复:4

老大们出来帮忙看一段汇编:

楼主#
更多 发布于:2007-05-14 16:10
  下面是一段汇编代码:
其中调用 sub_10542     堆栈压进30h,可是sub_10542 参数是6个,各位老大帮忙看看sub_10542 的参数是下面的那几个?


.text:000110FB 380                 mov     esi, [ebp+arg_14_prclOpaque]
.text:000110FE 380                 push    ebx
.text:000110FF 384                 push    ebx
.text:00011100 388                 push    0Ch
.text:00011102 38C                 sub     esp, 10h
.text:00011105 39C                 mov     edi, esp
.text:00011107 39C                 movsd
.text:00011108 39C                 mov     eax, [ebp+var_4]
.text:0001110B 39C                 movsd
.text:0001110C 39C                 movsd
.text:0001110D 39C                 movsd
.text:0001110E 39C                 mov     esi, [ebp+arg_14_prclOpaque]
.text:00011111 39C                 sub     esp, 10h
.text:00011114 3AC                 mov     edi, esp
.text:00011116 3AC                 push    dword ptr [eax+28h]
.text:00011119 3B0                 movsd
.text:0001111A 3B0                 movsd
.text:0001111B 3B0                 movsd
.text:0001111C 3B0                 movsd
.text:0001111D 3B0                 call    sub_10542




sub_10542:
.text:00010542     sub_10542       proc near               ; CODE XREF: sub_10A8A+1B7p
.text:00010542                                             ; sub_10C50+E3p ...
.text:00010542
.text:00010542     arg_0           = dword ptr  8
.text:00010542     arg_4           = dword ptr  0Ch
.text:00010542     arg_8           = dword ptr  10h
.text:00010542     arg_C           = dword ptr  14h
.text:00010542     arg_10          = dword ptr  18h
.text:00010542     arg_24          = dword ptr  2Ch
.text:00010542



很郁闷阿!老大给看看!
喜欢0
回复
binjo
binjo
论坛版主
论坛版主
  • 注册日期2003-04-23
  • 最后登录2012-06-25
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望142点
  • 贡献值0点
  • 好评度140点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-05-14 17:09
引用第0楼zheng57352007-05-14 16:10发表的“老大们出来帮忙看一段汇编:”:
.text:000110FB 380           mov   esi, [ebp+arg_14_prclOpaque]
.text:000110FE 380           push   ebx
.text:000110FF 384           push   ebx
.text:00011100 388           push   0Ch
.text:00011102 38C           sub   esp, 10h
.text:00011105 39C           mov   edi, esp
.text:00011107 39C           movsd
.text:00011108 39C           mov   eax, [ebp+var_4]
.text:0001110B 39C           movsd
.text:0001110C 39C           movsd
.text:0001110D 39C           movsd
.text:0001110E 39C           mov   esi, [ebp+arg_14_prclOpaque]
.text:00011111 39C           sub   esp, 10h
.text:00011114 3AC           mov   edi, esp
.text:00011116 3AC           push   dword ptr [eax+28h]
.text:00011119 3B0           movsd
.text:0001111A 3B0           movsd
.text:0001111B 3B0           movsd
.text:0001111C 3B0           movsd
.text:0001111D 3B0           call   sub_10542


arg_0 : dword ptr [eax+28h], var_4->field_28
arg_1 : arg_14_prclOpaque指向的结构体,0x10
arg_2 : arg_14_prclOpaque指向的结构体,0x10
arg_3 : 0xC
arg_4 : ebx
arg_5 : ebx

不知道对不对,还是看debug里的输出比较好
回复(0) 喜欢(0)
zheng5735
zheng5735
驱动牛犊
驱动牛犊
  • 注册日期2006-03-10
  • 最后登录2012-12-05
  • 粉丝1
  • 关注0
  • 积分939分
  • 威望127点
  • 贡献值0点
  • 好评度95点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-05-14 17:28
因为是静态逆向阿!
所以看输出是不可能的拉!

感觉有点不合逻辑的!
我的理解也是有2种:

一种跟你的一样!
另外一种就是离 sub_10542最近入栈的6个是传递的参数。

第一种比第二种比较和逻辑,可是第一种在程序中理解还是别扭!

不知道还有别的逆向说法没有?
回复(0) 喜欢(0)
binjo
binjo
论坛版主
论坛版主
  • 注册日期2003-04-23
  • 最后登录2012-06-25
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望142点
  • 贡献值0点
  • 好评度140点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-05-14 17:33
那再看看sub_10542里的参数是怎么调用的,反推看看
回复(0) 喜欢(0)
zheng5735
zheng5735
驱动牛犊
驱动牛犊
  • 注册日期2006-03-10
  • 最后登录2012-12-05
  • 粉丝1
  • 关注0
  • 积分939分
  • 威望127点
  • 贡献值0点
  • 好评度95点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-05-15 11:35
衣襟解决。
大意没有细看,
参数偏移搞错啦!
 
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部