Red de conocimiento informático - Material del sitio web - ¿Cómo ver los parámetros de la función de salida dll?

¿Cómo ver los parámetros de la función de salida dll?

Vea los parámetros de la función de salida dll:

1. Primero abra la DLL que necesita ser analizada y luego use la función de menú - "Exportar para encontrar la función que necesita ser analizada" y doble-. haga clic en la función. Esta función se puede ubicar directamente.

2. Mire la entrada de la función. Generalmente, las funciones utilizan el siguiente código como entrada.

push ebp

mov ebp, esp

3. Encuentra la salida de la función Generalmente, la salida de la función tiene la siguiente declaración.

ret xxxx;//donde xxxx es la diferencia entre todos los bytes de la función. Para múltiplos de 4, xxxx se divide entre 4 para obtener el resultado

Es el número de. parámetros.

Ubicación de almacenamiento de parámetros:

ebp+08 //Primer parámetro

ebp+0C //Segundo parámetro

ebp+10 / /El tercer parámetro

ebp+14 //El cuarto parámetro

ebp+18 //El quinto parámetro

ebp+ 1C //El sexto parámetro

. . . .

------------------------------------------- --

Otra llamada común:

sub esp,xxxx //Parte inicial

//Contenido de la función

.

//El contenido de la función

agregar esp,xxxx

ret //parte final

El resultado de xxxx/4 También es un número de parámetro.

------------------------------------------- -- ------

Existe otro método de llamada:

Debido a que la función es relativamente simple y no existe un proceso de apilamiento de parámetros,

donde

esp+04 es el primer parámetro

esp+08 es el segundo parámetro

.

esp+xx es el xx/4º parámetro

Se dice que el número máximo de xx que se puede ver dividido por 4 es el número de parámetros pasados ​​a la función.

------------------------------------------- -- ---

Según dónde nos encontremos ahora, debería quedar claro cuántos parámetros se pasan. En cuanto a lo que se está aprobando, es necesario un mayor análisis. La forma más conveniente es descubrir primero el software que llama a esta función y luego utilizar técnicas de depuración para averiguar dónde se llama la función. Los parámetros generalmente se pasan a través de la instrucción PUSH. En este punto, puede ver lo que se insertó en la pila. En términos generales, si el parámetro es un número entero, puede saberlo de un vistazo. Si es una cadena, es relativamente simple. puedes verlo.

上篇: La tecla de acceso directo para obtener una vista previa de una página web en el navegador IE es 下篇: Datang Telecom: pérdida preliminar de 13 a 26 millones de yuanes en el primer semestre de 2022

Artículos populares