在进程的可执行内存中,如何区分汇编“调用”指令的操作码(E8地址)和其他E8字节(例如,位于另一条指令中间的字节)?(最好是从C语言的角度来看)
验证紧跟在E8字节之后的四个字节是否引用了有效地址,然后验证该区域(即被调用函数的开始)是否以操作码"push ebp“和"mov ebp,esp”(大多数函数使用此开场白)所对应的字节开始是否足够?或者有更好的选择,比如检查从入口点到出口点的每个操作码?
顺便说一句,我几乎没有这个话题的经验,所以任何信息都是值得感谢的。
谢谢!
https://stackoverflow.com/questions/50778177
复制相似问题