根据OllyDbg显示,分析retn 10执行完后,CPU返回的地址和ESP值

最新推荐文章于 2024-12-09 12:34:13 发布
最新推荐文章于 2024-12-09 12:34:13 发布
阅读量1k 收藏 5
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/keyball123/article/details/104855066
版权

在这里插入图片描述
retn 10相当于pop EIP add ESP,10 两条语句的功能

(1) 0x004026B3

详解:CPU返回地址应当是retn 10指令执行后EIP的值,也就是父亲函数的 call指令后面一条指令 的地址。画面中看不到父亲函数的地址和汇编代码,所以把目光聚焦于EIP。retn 10的执行过程中,EIP从栈顶弹出,所以它应该是retn 10执行前ESP所指向的内容。即:EIP(new)=[ESP](old)。而指令执行前ESP的值在画面中寄存器区可以读出:0x0012F600,ESP所指向的内存单元的内容(0x0012F600起始的内存地址的数据)在内存区可以读出:0x004026B3。

(2) ESP=0x0012F614

详解:画面中各寄存器的值是执行retn 10指令前的状态,此时ESP(old)=0012F600。pop EIP使得ESP+0x4,add ESP,10使得ESP+0x10(注意是16进制的10而不是十进制下的10,这个从retn 10的十六进制编码为C2 1000可以看出来)。所以retn 10执行完成后,ESP变为0x0012F600+0x04+0x10=0x0012F614

KevinLuo2000
关注
【逆向】【Part 2】逆向分析基础
lanlanla的成长历程
01-08 759
1.基本知识回顾 1.MessageBox函数 PS:这个函数出现的频率太高了,建议记下来(以防考试)。 函数原型: intMessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT UType); 参数:  hWnd:标识将被创建的消息框的拥有窗口。如果此参数为NULL,则消息框没有拥有窗口。  lpText:指向一个以...
OllyDBG完美教程(超强入门级)
墨鱼菜鸡
07-11 2万+
OllyDBG视频教程:https://www.bilibili.com/video/av6889190 动态调试工具之OllyDbg(OD)教程:https://www.bilibili.com/video/av70600053 使用 OllyDbg 从零开始 Cracking.chm ( 58章):https://pan.baidu.com/...
retn之后的EIP欺骗的Ollydbg
潜心学习
06-18 2388
有如下有趣的代码 0040D000 90 nop 0040D001 s> E8 0A000000 call sss.0040D010 0040D006 90 nop 0040D007 EB 0C jmp short sss.
【信息安全案例】——软件解密技术(以OllyDbg为例)
HinsCoder的博客
05-20 2808
针对数据的解密在于如何推导密钥而针对软件的解密技术则在于寻找注册码完成注册甚至跳过注册,因此软件解密又被称为软件破解,
对call堆栈平衡的一点心得,希望对新手有所帮助
u010488395的专栏
05-08 3461
俺也是新手,通过广海,bpsend 一些论坛学习,最近才对call 的堆栈平衡有点小小领悟,别笑话俺    当你对游戏某项功能实现的时候需要调用call  ,call 前面往往有一些入栈操作    例如        push  a              push b              push c              push d
什么是retn指令
雨化于画
04-05 6149
网上的一大堆回答把我给看晕了,太多答非所问的东西,很简单的东西都被弄得很复杂。经过一番查找,我在这里记录下来: retn指令的含义 举例 retn 10 含义是: pop eip add esp, 10h 注意 retn 1010 是十六进制的,它的十进制数是 16。 ...
OllyDBG分析报告系列(1)---Int3断点
06-04 3130
作 者: driverox时 间: 2008-05-19,16:45链 接: http://bbs.pediy.com/showthread.php?t=65094最近学习逆向,对OD本身做了个逆向,也算是一个小小的锻炼吧。呵呵,在这里以分析报告的形式贴出来,请大家批评指正。谢谢。Ollydbg(以下均简称为OD)中的Int3断点的主要功能是:在需要下断点的执行代码处将原来的代码改成0xCC,程序
用户层下API的逆向分析及重构
hongduilanjun的博客
03-10 1048
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
2.逆向分析Hello World!程序-上
天使也掉毛
08-10 4174
先写一个HelloWorld程序(vs2015/C++) 编译链接生成可执行文件XX.exe,然后用OD[OllyDbg]打开调试: 代码窗口:默认用于显示反汇编代码,还用于各种注释、标签,分析代码时显示循环、跳转位置等信息 寄存器窗口:实时显示CPU寄存器的,可用于修改特定的寄存器 数据窗口:以Hex/ASCII/Unicode的形式显示进程的内存地址,也可在此修...
恶意代码分析
最新发布
aming小老弟
12-09 1607
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析该恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
OllyDbg 使用 快捷键 界面 实战:修改数据 修改代码 获取正确序列号,重要数据等 跳过关键验证 改试用期 解锁限制的功能 安防安全行业基础
chenhao0568的专栏
01-31 2412
所以,我们只需F8运行程序,记录下每次jl,jnz等跳不跳,然后多运行几次程序,用完剩余的使用次数,再在OD中F8运行程序,观察下每次jl,jnz等跳不跳,与之前正常运行的做对比,一定发现不一样的就要仔细分析。1、F8运行程序,碰到出现窗口的CALL就下断点,重新运行按F7进入此CALL,观察此CALL前后的代码。用OD打开程序,右键–>查找–>所有参考文本字串,双击找到的文本到代码处。观察这些调用,查找产生这个nag窗口的调用,此程序是用VC6.0++写的,使用MFC,可以发现此次dialog非常关键。
汇编指令retn详解
q873412892的博客
11-08 1万+
汇编指令retn用来结束当前过程返回到上一调用过程 当retn指令执行时是将esp指向地址弹出到EIP指令指针寄存器 实际就是执行了一次pop eip 然后esp+4 紧接着开始执行eip指向的地址 rern指令执行esp指向0041FC9C ,EIP指向002225c7 堆栈中0041fc9c保存的是00222714 retn指令执行ESP指向0041FCA0,EIP指向00222714 也就是说retn指令执行后把esp指向地址保存的数据弹出到eip 然后esp+0x4 相当于执行了po
反汇编的callretn
nailgo的专栏
04-14 2496
CALL指令   CALL指令可不是如唤指令,而是子程序调用指令。那么汇编语言中的子程序是什么呢?子程序能被其它程序调用,在实现某种功能后能自动返回到调用程序去的程序。其最后一条指令一定是返回指令,故能保证得新返回到调用它的程序中去。也可调用其它子程序,甚至可自身调用。   我们可以暂时把子程序理解为一个代码段,是一个模块化的代码面。这个代码段可以完成某一特定功能,当程序在执行过程中需要用到这
push 0x******* retn 的应用
weixin_39791043的博客
09-18 861
转自  http://blog.sina.com.cn/s/blog_679b38460100xhbj.html 在破解的时候,我想在一个call的头部直接返回,如何判断到底是使用retnretn 4还是retn 0C...... 是看call头部的代码吗?? 我知道的只是retn xx的结果是在ESP上+xx,可似乎有时候我都用retn也没什么关系,这是为什么?
对于ESP、EBP寄存器的理解
热门推荐
在路上的学习者
10-04 3万+
esp是栈指针,是cpu机制决定的,push、pop 会自动
逆向工程核心原理学习笔记(二十一):栈帧8:删除函数add()的参数(整理栈)
killcoco的小窝
05-09 965
add函数执行完后,下面的指令是add esp,8 因为我们之前声明了两个变量,占用了8个字节,现在add函数调用完了,我们已经不需要了,所以将ESP+8 此时栈内的情况如图的右边红圈所示
esp的几种操作方法
yellow的博客
07-08 4035
在函数的前3行代码常常是下面这种形式1、push  ebp2、mov   ebp,esp3,sub    esp, 0x0C      // 为函数栈开辟空间其中1、2行在不保存栈基址的函数中就没有。看下图中的特殊情况:add esp, 0xFFFFFF68  也是为函数栈分配空间,只不过换了另外一种形式。还有一种情况:第4行已经分配了栈空间了,第3行的and(不是add哦)是要干嘛?这个操作是怎...
对call、retn的深入分析认识
JUST DO IT.
03-29 6552
为了加深对call、retn的理解,我今天用delphi写了一个小程序,在OD中跟踪程序执行call及retn时堆栈的变化。程序很简单:procedure summ(b: string); var a: string;begin a := b;end;procedure TForm2.Button3Click(Sender: TObject);begi
逆向工程核心原理笔记(六)——栈帧
a1351937368的博客
05-17 733
逆向工程核心原理笔记(六)——栈帧 1.栈帧 栈帧是利用 EBP (栈帧指针)寄存器访问栈内的局部变量,参数,函数返回地址等等的手段,通过前面的学习可以了解到,ESP 寄存器承担着栈顶部指针的作用,EBP 寄存器负责行使栈帧指针的职能。在程序运行的时候,ESP 寄存器的随时变化,访问栈中函数的局部变量,参数的时候,如果按照 ESP为基准编写程序将会十分困难,并且很难使 CPU 引用带准确的地址,所以在调用某个函数的时候,需要先把 ESP作为基准点保存到 EBP 中,并且维持在函数内部,这样无论
深入解读OllyDBG分析报告系列
【标签】"ollydbg 分析报告" 显示了本报告的主题是与ollydbg工具密切相关的,这表明报告将会涉及ollydbg的特定功能分析技巧,如插件的使用、快捷键高级命令,以及它们在处理复杂调试任务时的优势。报告可能还会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值