Hi Leute,
stehe mal wieder vor einem Problem. Unter 32Bit war die ReferenzMemoryadress einfach zu finden.
Doch unter X64 gestaltet sich das schwerer als gedacht (zumindestens für mich)
---
000000013F87DA7D |
48 8D 0D BC 1D BD 00 | lea rcx,qword ptr ds:[
14044F840] | ;14044F840:"ViewAdvanceAgentSelect"
---
wenn ich jetzt nach dem String "ViewAdvanceAgentSelect" suche, bekomme ich die
14044F840 zurück.
Unter 32 Bit entsprach diese auch den Bytes purple markiert! Doch unter X64Bit ist diese Adresse assembled "
rip + 0xbd1dbc".
Das Offset entspricht auch den Bytes, purple markiert.
Meine Frage. Wie komme ich an das Rip register oder an das Offset "
rip + 0xbd1dbc".
Klar könnte ich auch das Offset hardcoden nur verfehlt das mein Ziel
Grüße
s0n