我正在分析ollydbg中的一个程序,一些指令被反汇编为[ARG.1],例如: MOV ESI,[ARG.1]
我尝试在汇编书籍中搜索此命令,但似乎它只在ollydbg中使用,并且不是标准的汇编代码。 我对吗? 这是什么意思?
答案 0 :(得分:2)
我怀疑ollydbg试图通过对您的堆栈布局进行逆向工程来提供帮助,并且[ARG.1]实际上是[EBP+0x08]之类的 - 如果您在堆栈中的第一个参数使用C调用约定调用的函数。
有一段时间没有使用ollydbg,我确信有一种方法可以说服ollydbg更准确地向你显示确切的操作码是什么。
答案 1 :(得分:1)
您可以关闭显示ARG和LOCAL:选项 - >调试选项 - >分析1 - > “在程序中显示ARG和LOCAL”。
然后就可以看到ARG和LOCAL的真实表现。