[求助]07教程中的ESP定律中如何退出RETN呀？

言申言舌

前面按图文操作能跟上，到了

005AD3B0   /75 08           jnz     short 005AD3BA                   ; F9一次后来到这里
005AD3B2   |B8 01000000     mov     eax, 1
005AD3B7   |C2 0C00         retn    0C
005AD3BA   \68 181C5000     push    00501C18
005AD3BF    C3              retn                                     ; 退出这个retn后就来到OEP处

到这步后要怎么3次F8退出到达程序的OEP呢，试了几种教程上的方法都实现不了，朋友们来帮下^_^

还有一个问题,怎么按矢口程序操作ESP那到跟随数据到的地方我的第一个字节会是00,教程中是38呢,是不是这里哪里出错或OD版本的原因

[ 本帖最后由 言申言舌 于 2008-6-3 00:00 编辑 ]

roking

原帖由 言申言舌 于 2008-6-2 23:51 发表
到这步后要怎么3次F8退出到达程序的OEP呢，试了几种教程上的方法都实现不了...

F9断下后,取消硬件断点了没有?菜单"调试"->"硬件断点"检查一下。

00还是38的问题：应该是不同运行环境下，堆栈中的值不同而已，没影响的

cur

呵呵 这个问题时有发生 下次我也要注意咯 嘿嘿 学习学习！！

言申言舌

谢谢roking帮忙，可就是F9后删了断点再F8后也跟不上教材的到达程序OEP的步骤！
还是弄不明白如何退出RETN

[ 本帖最后由 言申言舌 于 2008-6-4 23:08 编辑 ]

kelvar

RETN
直接返回为什么要跳过呢？
不明白在说什么

jiangbonet

ESP定律很容易的啊