思路:找到人物名的地址,然后看看它有没有作为函数的 参数 被传递
参数 汇编特征示例
mov eax, dword ptr [ebp+8] //注意:ebp+4= 返回到 ebp+8=第一个参数 ebp+c=第二个参数 ebp+10=第三个参数,以此类推,具体参考 https://www.cnblogs.com/hujunmin/p/14455905.html
1.CE 查找访问,然后搜索 HEX 值
2.OD 加内存访问断点调试,找到相对好查的来源追源
3.OD 堆栈中搜索地址 CTRL+L 找到最后一个。然后继续追“返回到”模块的代码,看看 push 参数找到最近的基址
注意:搜索不到的时候,CE 可写设置调整入下图