windows - netapi32.dll - søger efter bestemte instruktioner

Indlæg af Hanne Mølgaard Plasc

Problem



Jeg forsøger at finde ud af, hvordan ubehandlet undtagelsesfilterhøje overløb fungerer. Jeg ved stort set, hvad der skal ske, men jeg skal finde instruktionen 'call dword ptr [[edi + 0x78]]' i netapi32.dll.


Kan du hjælpe mig med at finde den vejledning. Jeg forsøgte at bruge ollydbg, jeg indlæste netapi32.dll og søgte efter en kommando, og derefter indsat 'call dword ptr [[edi + 0x78]]', men intet.


Er der mere effektiv måde at søge sådanne instruktioner på?

Bedste reference


Problemet med ollydbg er, at når du leder efter en kommando, skal du skrive nøjagtigt som debuggeren præsenterer kommandoen (ingen regulære udtryk tilladt). Dette er den linje, jeg brugte:


call dword ptr ds:[edi+78]


det virker nu.