逆向分析游戏基址时出现ESP这总情况怎么分析

cpchenpan · 发表于 2013-5-2 21:32:47

逆向分析游戏基址时出现 LEA ECX,DWORD PTR SS:[ESP+4] ESP是指针，随时都会变，这句代码的意思是把栈ESP+4 的地址值给ECX ，那个这地址值怎么得到，这个值每次都是一样的吗？

小小思维 · 发表于 2013-5-2 21:39:16

一般也就3种找法
1.找 mov [esp+4],eax 这类型的，对这ESP+4写入数据的语句
2.往上找CALL，看CALL内部是否有 mov [esp+4],eax 这类型的
3.返回上一层找CALL的参数，你可以对比下CALL参数的值，看那个相同~

希望对你有用~

cpchenpan · 发表于 2013-5-3 12:34:00

回复 2# 小小思维

谢谢，假如现在基址写法是  [ecx+18]+10,
如果向上层找，找到mov [esp+4],eax
那么此时的表达式应该怎么写，变成了[eax+18]+10么，为什么？
  不是取ss:[esp+4]的地址值么，而mov [esp+4],eax 的意思是把eax的值传给地址为[esp+4]  里面的内容，而不是
[esp+4] 的地址

		自动登录	找回密码
密码			注册账号