Bonjour,
 
j'ai désassemblé un petit prog (compilé avec vc++6)
et, à l'offset 10E9 (004010E9)
il y a l'instruction call 00401000 (qui renvoit donc à l'offset 1000 du code (dans le fichier, c'est la ou le code commence (mais pas l'entrypoint)))
traduite en binaire : E812FFFFFF
je ne comprends pas comment ca marche ?
je suppose que le E8 correspond à call, mais 12FFFFFF, à quoi cela correspond-il ?
je cherche à faire un rapprochement ...
 
merci a vous si qquelqu'un pouvait m'aider
 
bonne prog, @+
BlackGoddess

>> traduite en binaire : E812FFFFFF
 
hein ?
 
>> je ne comprends pas comment ca marche ?
 
je ne comprends pas ta 'traduction'.
 
>> mais 12FFFFFF, à quoi cela correspond-il ?
 
c'est sûrement une adresse relative, donc négative. regarde l'ordre des bytes losque tu écris un dword ...

E812FFFFFF c'est le fichier .exe édité en hexadécimal, ce qu'il y a dans le fichier qui correspond à call 00401000 dans le désassembleur
 
pour le dword ... je ne sais pas comment on le traduit, je sais juste que les octets sont inversés, ce qui donne FFFFFF12.

c'est bon, g converti le dword en signed long, et ca donne -238, ce qui est l'écart entre l'offset de l'instruction suivant le call et l'offset 1000