Assembly 这个代码意味着什么：ss:dword_410CC5[ebp]？_Assembly_X86_Reverse Engineering_Ida

Assembly 这个代码意味着什么：ss:dword_410CC5[ebp]？

assembly x86

Assembly 这个代码意味着什么：ss:dword_410CC5[ebp]？,assembly,x86,reverse-engineering,ida,Assembly,X86,Reverse Engineering,Ida,使用IDA Pro分析文件时，我遇到了一些我不太理解的代码： mov eax, ss:dword_410CC5[ebp] ; call eax; Indirect Call Near Proc 转到地址410CC5，我看到了： ile.........Clos eHandle......... 我假设在EAX的第一个代码段中存储了库函数的名称，然后由 call eax; Indirect Call Near Proc 但问题是地址410CC5与该名称不完全对应（见附件）。在这个地址实际

使用IDA Pro分析文件时，我遇到了一些我不太理解的代码：

mov eax, ss:dword_410CC5[ebp] ;
call eax; Indirect Call Near Proc

转到地址410CC5，我看到了：

 ile.........Clos
 eHandle.........

我假设在EAX的第一个代码段中存储了库函数的名称，然后由

call eax; Indirect Call Near Proc

但问题是地址410CC5与该名称不完全对应（见附件）。在这个地址实际上只有零

那到底意味着什么

call eax; Indirect Call Near Proc

我们叫CloseHandle？如果是这样，那么为什么没有将正确的地址传递给EAX

当反汇编中出现

调用

指令时，表示在该点调用另一个例程/函数

如果例程具有绝对地址，则该指令将显示为调用0xaabbccdd

如果被调用函数的地址是动态地址（当操作系统加载可执行文件时解析此类地址），则通过注册值调用

但是，此指令用于调用一个仅此而已的例程。

dword_410CC5[ebp]

不是绝对地址

410CC5

，应添加

ebp

的值。这只是

[ebp+410CC5]

的愚蠢语法。另外，

calleax

不会按名称调用函数。当然，在第一行代码中，有一条

MOV

指令丢失？是的，很抱歉。更正您正在查看模块的IAT（导入地址表）。虽然EBP通常对堆栈帧进行寻址，但在高度优化的代码中，它确实被用作通用寄存器。它很可能只是调用导入的函数。同时也告诉您，您将很难到达某个地方，优化的代码很难进行反向工程。