Resulta que en dump en la direccion 7C800000h me pone 4D5Ah('MZ') pero resulta que si hago MOV WORD AX, [7C800000] me pone en AX otra cosa ¿Por que pasa esto? ¿Me esta olly siendo infiel?
no creo que te engañe del todo, el tamaño del registro que estas moviendo es bastante pequeño (16bytes el registro ax, ah, al, ) en cambio el registro EAX, es de 32bytes
si es por comando te sugiero que hagas un lea (en vez de mov), o un cmp dword prt ss:[offset],4D5Ah je lugar
y asi vas comparando si realmente vas viendo eso.. con ax, no creo que resulte por almacenar esos bytes
si no me crees, coloca mov eax, 7c800000 cmp ax,0 cmp al,0 cmp ah,0
y luego matas la duda cuando ves los registros en vivo en comparacion.
Jaja vale ya se por que es... resulta que tenia en esa direccion un breakpoint y los breakpoints modificanel codigo y lo substituyen por CCh. Para solocionarlo puse un hardware breakpoint Si, como indica el titulo estoy usando olly Gracias
Suscripción al boletín mensual de elhacker.net
Autor
En línea
