找到返回地址(1)

Enter ==push ebp和mov ebp,esp


Leave ==mov esp,ebp和pop ebp

函数入口

出口

 

对于64debug版本找函数返回地址:

　　esp加上  push ebp 8个字节，再加上 sub esp,xx后面 数据即可得到调用函数地址

比如

esp+10h +4　存放地址为返回地址

返回地址上一条指令即为调用地址