Bonjour,
J'ai une question... à propos de l'instruction "mov".
En ce moment j'ai une fonction de hooking au sein d'un processus...
Soit ce code...
Je me demandais... comme l'opcode du mov est ici A3... comment retrouver l'addresse du dword_2136184 ???
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3 E8 39 6A 02 00 call sub_1DC6CC0 A3 84 61 13 02 mov dword_2136184, eax
Selon une référence en opcode...
Est-ce que la séquence après A3 (i.e. 84 61 13 02) est en fait un "jump" (une addresse relative) ou quoi encore? C'est l'essence de ma question...
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2 A3 movl eax,moffs32 2 Move EAX to (seg:offset) movl %eax,farmem32
Autrement dit, pour obtenir l'addresse réelle, dois-je additionner 84611302 à l'addresse même de l'instruction mov, ou simplement utiliser 84611302 ?
Et si je dois faire une addition, à partir de quelle byte la faire? À la prochaine instruction après le mov, après le byte A3 ou après le début de l'instruction mov? Je ne sais pas trop...
Merci,
Array
Partager