|
Titre: Fonction VB desassemblées Posté par: deathRabbit le 17 Mai 2009 à 00:29:05 Bonjour,
Tout plein de question aujourd'hui. J'ai un peu de mal à lire le code suivant sous OllyDbg : CALL DWORD PTR DS:[<&MSVBM60.__vbaVarAdd>] J'ai compris qu'il s'agissait d'une fonction utilisée en VB pour additionner deux valeurs. Si c'est une fonction qui a été utilisée, son code asm ne devrait pas changer, et donc produir la même chose à chaque fois qu'on l'utilise, exact? J'ai fouiller chez google, mais je n'arrive pas à trouver de documentation qui me permette de savoir quelles valeurs ont été additionnées. Pouvez-vous m'éclairer? Merci Titre: Re : Fonction VB desassemblées Posté par: Iansus le 17 Mai 2009 à 07:52:44 Les paramètres de la fonction sont Pushées avant l'appel de la fonction, si je me souviens bien.
Par contre, il faut encore déterminer le nombre de paramètre... Titre: Re : Fonction VB desassemblées Posté par: deathRabbit le 17 Mai 2009 à 21:39:54 Oui, c'est bien ça. Il semblerait que certaines soient "pushées" avec un dérivé de la fonction MOV. Il me reste à réussi à différencier les "MOV d'arguments" aux "MOV classiques" si on peut dire. Et encore pire : déterminer où est envoyé le retour de la fonction.
Merci |