Содержимое стека и регистров при старте процесса Win32

Собственно subj.



Я понимаю, что в стеке адрес возврата в kernel32.dll(откуда и передается управление стартующему процессу), спроецированной на адресное пространство процесса , SEH-фрейм.



А что полезного оказывается при старте процесса в esi, edi, ebx? Их же вместе с ebp не рекомендуется менять в ассемберном коде...

 

Их же вместе с ebp не рекомендуется менять в ассемберном коде...



Можно всё!!! Их рекомендуют использовать до API вызовов и после, так как по стандарту Windows и UNIX функции общего назначения могут изменять только eax, ecx, edx, остальные регистры должны быть восстановлены после изменения.



А что полезного оказывается при старте процесса в esi, edi, ebx?



Я тоже хотел бы знать, но ведь в инете наверняка есть инфа.

 

мусорные данные

 

мусорные данные

Если бы... Тогда почему ebx (=7FFDF000h) имеет одно и то же значение при старте процесса, а esi, edi = 0?

 

И какую же пользу можно извлечь из нуля? Или из 7FFDF000? К тому же esi например у меня не ноль, а 1.

 

И какую же пользу можно извлечь из нуля? - Отвечаешь вопросом на вопрос!!!



Что-то самого автора roman_k не слышно...

Пойду пиво ХЛОПНУ!

 

это не вопрос, это возражение против твоего мнения, что там не мусор. Самый обыкновенный мусор.

 

Ну и hren с этим мусором...

Меня это не сильно тревожит.

 

Ну положим ebx=7FFDF000h это не мусор, а указатель на PEB

Вот только, какую из этого "пользу" можно извлечь - не понятно

 

leo

Это наверно будет полезно roman_k'у, который сейчас играет на гитаре и пьёт коньяк

 

Вот потому и мусор, что пользы никакой

 

cresta

Да что ты такой упрямый. Человек leo

дело говорит! PEB очень даже понадобится для простой проверки находимся ли мы в отладчике или нет:



.CODE

Start:



.IF byte ptr [ebx + PEB.BeingDebugged] == 0

; Процесс не отлаживается

.ELSE

; Процесс запущен из под отладчика!!!

.ENDIF



;...



END Start

 

cresta

У меня к тебе такой вопрос:

Своим зависшим ответом "мусор" ты рейтинг хочишь себе повысить или ты действительно не веришь, - так сам попробуй юзанут этот код (выше).

 

На этом форуме никаких рейтингов нет, поэтому обвинять меня в повышении того, чего нет - бессмысленно.



Что касается содержимого ebx - надеяться на него я не могу. Если нужно получить указатель на PEB - я сделаю это другим, более правильным способом, а не буду надеяться на некие лажовые данные в некоем регистре, которые сегодня одни, завтра совсем другие. То что они могут оказаться другими, видно на примере esi: у тебя 0, у меня 1.



P.S.

Кто тут переживает за рейтинг, видно по теме

http://www.wasm.ru/forum/index.php?action=vthread&forum=26&topic=13053

 

cresta

Да ты успокойся, тебя никто не обвиняет, а только поинтересовались.



Не хочешь, не используй "некие лажовые данные в некоем регистре", тебя ведь никто не заставляет.

 

Да я и не волнуюсь, чтобы успокаиваться.

В принципе, ты можешь использовать что угодно, и как угодно, а советовать автору вопроса лажу незачем.

 

- В принципе, я могу, и тебя спрашивать не буду.

 

Какие мы самостоятельные



"Не учите меня жить, лучше помогите материально"

(с) О.Бендер.

 

Вот тебе ещё один способ определения отладчика, сродни твоему, такой же кривой, но иногда работает:

Код (Text):

1. cmp esi,1
2. jg  _debugger_present

Пользуйся. Он короче твоего.

 

Т...й у.....к !!!