assembly - Differences in OllyDbg and IDA PRO for MOVSX EDX, BYTE PTR [ESP+ECX+8] command -
जबकि OllyDbg और IDA PRO का उपयोग करते हुए एक ही प्रोग्राम को अलग करना I के पास अलग-अलग तरीकों से कोड की एक पंक्ति अलग-अलग है। < MOVSX EDX, BYTE PTR [ESP + ECX + 8]
आईडीए:
MOVSX ईडीएक्स, [ईएसपी + ईसीएक्स + 68 एच + स्ट्रिंग] क्या कोई ये बता सकता है कि आईडीए प्रो इसका क्या मतलब है? मैं यहाँ 68h + स्ट्रिंग भाग से निराश हूँ। क्या मैं मान सकता हूँ कि 68 एच + स्ट्रिंग का हमेशा मतलब BYTE PTR?
आईडीए को STRING को घोषित करना चाहिए था कार्य / प्रक्रिया की शुरुआत में -60 घ के मान के साथ एक लोकल वैरिएबल हो (68 + STRING) == (68 + (- 60)) == (68-60 ) == 8 यह वही है जो ollydbg दिखाता है
00405712 8B4424 30 MOV EAX, DWORD पीटीआर एसएस: [ईएसपी + एसएएस] 30]
आईडीए दिखाएगा जबकि
टेक्स्ट: 00405712 mov eax, [esp + 1ch + arg_4]
> क्योंकि समारोह ida की शुरुआत में arg_4 को
.text: 004056E0 arg_4 = dword ptr 14h के रूप में परिभाषित किया गया है
14h + 1ch == 30 घंटे अगर आप आईडीए सिंटैक्स पसंद नहीं करते हैं लेकिन आप एक सीधा [esp + 30]
देखना चाहते हैं यह स्क्रिप्ट
shift + f2 पेस्ट और ठीक दबाएं सावधान रहें सभी ida idc फ़ंक्शन बहुत धीमी गति से MaxEA () के बजाय किसी भी बड़े पैमाने पर ऑपरेशन के लिए नीचे स्निपेट में तेज़ परिणाम के लिए कुछ छोटे ब्लॉक
auto i; के लिए (i = मिनिया (); i & lt; MaxEA (); i = अगला हेड (i, मैक्सईए ())) {ओफ़्फेक्स (आई, -1); }
Comments
Post a Comment