我正在分析 ollydbg 中的程序,一些指令被反汇编为 [ARG.1],例如:MOV ESI,[ARG.1]
我尝试在汇编书籍中搜索此命令,但似乎它仅用于 ollydbg 并且不是标准汇编代码。我对吗?这是什么意思?
问问题
1238 次
2 回答
3
我怀疑 ollydbg 试图通过对您的堆栈布局进行逆向工程来为您提供帮助,这[ARG.1]实际上是[EBP+0x08]或类似的——如果您在使用 C 调用约定调用的函数中,堆栈上的第一个参数。
有一段时间没有使用 ollydbg,我相信有一种方法可以说服 ollydbg 更准确地向您展示确切的操作码是什么。
于 2012-07-14T07:16:43.693 回答
1
您可以从以下位置关闭显示 ARG 和 LOCAL:选项 -> 调试选项 -> 分析 1 ->“在过程中显示 ARG 和 LOCAL”。
然后可以看到 ARG 和 LOCAL 的真实表示。
于 2016-09-09T20:47:45.070 回答