ollydbg中[local.1]、[local.2]、[arg.1]、[arg.2]的含义

最新推荐文章于 2024-03-31 21:27:04 发布
最新推荐文章于 2024-03-31 21:27:04 发布
阅读量3.7k 收藏 13
点赞数 9
分类专栏: Daily 文章标签: 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46246804/article/details/108815565
版权

含义

local表示局部变量,arg代表参数,含义如下

local.2 == ebp - 8
local.1 == ebp - 4
arg.1 == ebp +8
arg.2 == ebp +12

为什么arg.1是ebp+8而不是ebp+4?

请看这张图:
堆栈示意图

在调用函数之前,先将两个参数压入堆栈,再执行call,执行call时自动将返回地址压入堆栈。进入子函数,开辟堆栈帧,首先两行:

push ebp
mov ebp, esp

首先将原ebp压入堆栈,即图中的“原ebp”,此时的esp即指向刚压入堆栈的“原ebp”处,再执行mov ebp, esp,则此时ebp即指向“原ebp”。

在ollydbg中修改local.1显示方式

依次点击options->debugging options->analysis 1;选中如图所示复选框,即可显示为local和arg的格式,取消勾选则以ebp的格式显示。
调试选项->分析1

iamblackcat
关注
专栏目录
OllyDBG 入门系列(三)-函数参考
nobody001z的博客
12-20 1191
http://bbs.pediy.com/showthread.php?t=21330运行程序点击check没反应,发现验证码错误没反应在API上下断点,考虑GetWindowText和GetDlgItemText。 查找–>当前模块的名称,发现GetWindowText,右键,在每个参考上设置断点。check it00401316 |. 6A 28 push 0x28
【逆向】【Part 1】Windows基础知识
lanlanla的成长历程
01-08 1995
目录 1.Win32的软硬件平台 1.80X86系列处理器 2.80X86处理器的工作模式 2.Windows内存管理 1)实模式下的寻址方式 2)保护模式下的内存寻址 3)内存分页机制 4)Windows的内存安排 3.Windows的特权保护 1.80386的断和异常 (1)80386实模式下的断和异常处理 (2)80386保护模式下的断和异常处理 2.8038...
所用的软件是visualc++6.0绿色版,点击运行后出现[local]1[/local]
陈刚编程心得与知识集
10-23 622
#include void main(); { int x,y,t; printf("请输入两个整数:"); scanf("%d%d",&x,&y); if(x>y) { t=x; } t=y; printf("max=%d",max); getchar(); }大神们 不知道问题出在哪 求赐教 在下感激万分。
OllyDbg完全教程
chenqunan3231的博客
03-09 674
SUB EDX,100 JB DEFAULTCASE JE CASE100 ; Case 100 DEC EDX JNE DEFAULTCASE ... ; Case 101 这个序列可能还包含一到两阶的转换表、直接比较、优化和其他元素。如果在比较或跳转的很深处,这就 很难知道哪是一个分...
OllyDbg实用技巧六则
把梦想放飞在蓝色的天空里...
05-09 1067
关键词: OllyDbg、OD、技巧 1、让跳转路径显示出来      打开Options\Debugging Option。弹出Debugging Option对话框,选择CPU页,选定 “Show direction to jumps”、“Show jump path”和“Show grayed path if jump is   not taken”。如此以来在Disas
从汇编角度看一个C函数调用
Myliang97的博客
03-16 299
简单的来个C函数调用: #include<stdio.h> int Add(int a, int b) { return a + b; } void main() { int a = 20; int b = 30; int res = Add(a, b); printf("%d\n", res); } 通过od打开后,main函数的反汇编如下: PUSH EBP; assignment.00D81010(guessed void) MOV EBP, ESP SUB E..
ollydbg教学篇
WiNrOOt的逆向工程专栏
08-03 7027
写之前先说点废话(谁扔的香蕉皮,鸡蛋^^^^^^^^^^^): ollydbg是个功能强大的软件,以前我也不用他(不习惯),而且很多经典教程都是用trw和softice作为示例工具写的. 初学者(注:和我一样的人)往往一开始就接触这些工具,做练习也就用这些工具!可以说已经上手了! 对ollydbg的动态调试功能也就陌生了! 现在一个很现实的问题让我改变了习惯,我的键盘鼠标是usb的,显示器也给
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1915
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
Android 逆向分析大全
墨鱼菜鸡
07-11 3441
转载:Android 逆向分析大全:https://www.jianshu.com/p/a12d04fc748f 1. 概述 1.1 分析步骤 通用逆向分析步骤 1. 了解该模块正向编程相关方法2. 使用apktool解密apk,得到资源、jni模块等文件3. 从apk提取出dex文件,使用dex2jar转换成jar文件,再用java逆向工具...
au3反编译源码
01-22
Func Fn0020($Arg00, $Arg01) | Func _DateMonthOfYear($iMonthNum, $iShort) Local $Arr0000[0x000D] | ;======================================== $Arr0000[1] = "January" | ; Local Constant/Variable ...
C++11thread_local的使用
网络资源是无限的
09-20 1万+
C++11的thread_local是C++存储期的一种,属于线程存储期。存储期定义C++程序变量/函数的范围(可见性)和生命周期。C++程序可用的存储期包括auto、register、static、extern、mutable和thread_local。这些说明符放置在它们所修饰的类型之前。 线程局部存储(Thread Local Storage,TLS)是一种存储期(storage duration),对象的存储是在线程开始时分配,线程结束时回收,每个线程有该对象自己的实例。这种对象的链接性(l
汇编指令lodsb和stosb、lodsd和stosd
热门推荐
u010874011的专栏
07-23 1万+
lodsb指令,将esi指向的地址处的数据取出来赋给AL寄存器,esi=esi+1; lodsw指令则取得是一个字。 lodsd指令,取得是双字节,即mov eax,[esi],esi=esi+4; stosb指令,将AL寄存器的值取出来赋给edi所指向的地址处。mov [edi],AL;edi=edi+1; stosw指令去的是一个字。 stosd指
读懂ARM汇编程序,你只差这篇!保姆级教程(附完整示例剖析)!
车载系统攻城狮
03-21 7670
ARM汇编的符号、标号、伪操作有哪些?C语言和汇编语言如何混合编程?GNU ARM汇编和ARM汇编的区别有哪些?
【云原生】· 一文了解docker的网络
大虾好吃吗
06-19 6883
根据前面的学习,已经对docker有了一些简单的概念。这里在啰嗦一句,容器是一个独立的环境,可以理解为一个小型的linux系统(但不要把它当真正的系统),而docker的网络分为三种分别为bridge、host、none。
Rsyslog系统日志管理,解决/var/log/message文件过大问题
生活需要深度
03-03 5807
最新的文件是messages,第一次强制轮转后的旧文件是messages.1,cat messages.1会看到logger -t "呵呵" "再见!如果不想记录到/messages,可修改/etc/rsyslog.conf,添加local6.none,则不再显示ssh的日志。(不想记录就修改/etc/rsyslog.conf,将local0.none加在/var/log/messages那行里)通过rsyslog程序去管理来自指定设备载体的日志记录到指定的文件(修改/etc/rsyslog.conf)
gg修改器脚本,戰警蘭博,快速strstr
最新发布
qq_43470425的博客
03-31 445
【代码】gg修改器脚本,戰警蘭博,快速strstr。
关于_argc,_argv汇编代码以及宏汇编的解析
輚至消亡
10-24 2443
罗云彬老师的&lt;Windows环境下32位汇编语言程序设计&gt; 书十三章再讲Console下exe程序输入参数的问题引入了两个过程_argc和_argv,书并没有给出详细解释,在这里总结了下。 这两个过程产生的原因是应为汇编不像C语言调用SDK在EP函数就自动帮助传入参数,大家都知道: int APIENTRY main(HINSTANCE hInstance, ...
IDA栈帧分析与反汇编
qq_45521281的博客
04-10 3414
栈帧 不再赘述。 1.局部变量分布 编译器的第一个任务是,计算出函数的局部变量所需的空间。编译器的第二个任务,则是确定这些变量是否可在CPU寄存器分配,或者它们是否必须在程序栈上分配。 至于具体的分配方式,既与函数的调用方无关,也与被调用的函数无关。值得注意的是,通过检查函数的源代码,通常无法确定函数的局部变量布局。 使用栈指针引用栈帧变量的函数 计算得出,局部变量最少需要76字节的栈空间( ...
常见语言反汇编入口代码
阿特图
04-01 6676
//原文来自小生我怕怕破解视频      认识各语言的入口特征及加壳后的识别判断,及加密与压缩壳识别 C++ 00408027 >/$  55             push ebp 00408028  |.  8BEC           mov ebp,esp 0040802A  |.  6A FF          push -0x1 0040802C  |.  68
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值