此代码表示什么:ss:dword_410CC5[ebp]?
What does this code imply: ss:dword_410CC5[ebp]?
使用 IDA Pro 分析文件时,我 运行 遇到了一些我不太理解的代码:
mov eax, ss:dword_410CC5[ebp] ;
call eax; Indirect Call Near Proc
去这个地址 - 410CC5 - 我看到这个:
ile.........Clos
eHandle.........
我假设在 EAX 的第一个代码片段中存储了库函数的名称,然后由
调用
call eax; Indirect Call Near Proc
但问题是地址410CC5与这个名称不完全对应(见附件)。在这个地址实际上只是零。
这是否意味着
call eax; Indirect Call Near Proc
我们调用CloseHandle?如果是这样,那为什么没有将正确的地址传递给 EAX?
当反汇编中出现 call 指令时,表示此时调用了另一个 routine/function。
如果例程有绝对地址,指令将显示为call 0xaabbccdd。
如果被调用函数的地址是动态地址(这种地址在OS加载可执行文件时被解析),它是通过注册值调用的。
不过,这条指令只是用来调用例程而已。
使用 IDA Pro 分析文件时,我 运行 遇到了一些我不太理解的代码:
mov eax, ss:dword_410CC5[ebp] ;
call eax; Indirect Call Near Proc
去这个地址 - 410CC5 - 我看到这个:
ile.........Clos
eHandle.........
我假设在 EAX 的第一个代码片段中存储了库函数的名称,然后由
调用call eax; Indirect Call Near Proc
但问题是地址410CC5与这个名称不完全对应(见附件)。在这个地址实际上只是零。
这是否意味着
call eax; Indirect Call Near Proc
我们调用CloseHandle?如果是这样,那为什么没有将正确的地址传递给 EAX?
当反汇编中出现 call 指令时,表示此时调用了另一个 routine/function。
如果例程有绝对地址,指令将显示为call 0xaabbccdd。
如果被调用函数的地址是动态地址(这种地址在OS加载可执行文件时被解析),它是通过注册值调用的。
不过,这条指令只是用来调用例程而已。