【发布时间】:2016-12-13 00:50:35
【问题描述】:
我正在分析 ollydbg 中的程序,一些指令被反汇编为 [ARG.1],例如: MOV ESI,[ARG.1]
我尝试在汇编书籍中搜索此命令,但似乎它仅用于 ollydbg 并且不是标准的汇编代码。 我对吗? 又是什么意思?
【问题讨论】:
标签: ollydbg
【发布时间】:2016-12-13 00:50:35
【问题描述】:
我怀疑 ollydbg 试图通过对您的堆栈布局进行逆向工程来帮助您,并且 [ARG.1] 实际上是 [EBP+0x08] 或类似的 - 如果您在调用的函数中,堆栈上的第一个参数C 调用约定。
有一段时间没有使用 ollydbg,我相信有一种方法可以说服 ollydbg 更直接地向您展示确切的操作码是什么。
【讨论】:
您可以从以下位置关闭显示 ARG 和 LOCAL:选项 -> 调试选项 -> 分析 1 -> “在过程中显示 ARG 和 LOCAL”。
然后就可以看到ARGs和LOCALs的真实表示了。
【讨论】:
-
对于 OllyDbg 2.x 的用户,该选项可以在选项 -> 分析 -> “在反汇编中显示识别的 ARGs 和 LOCALs”