觅风论坛
标题:
解密——OD使用指南
[打印本页]
作者:
天心我爱
时间:
2018-12-13 10:59
标题:
解密——OD使用指南
1.OD中ctrl+f9:运行到返回,就是运行到当前断点所在的函数末尾"retn xxx"处,若xxx=10,那么
10等于10进制的16,就是说这个函数有4个参数,一个参数默认是占4字节,所以就是retn 10。
2.调试程序时,在OD内部小窗口左上角会显示当前断点所在的函数层,是在系统领空还是某个应用程序领空。
3.call前出现lea edx,dword ptr ss:[ebp-x]的分析方法:
当在call处出现类似于下面,在call内部存在对edx的使用时:
call处:
lea edx,dword ptr ss:[ebp-8] ;将ebp-8堆栈地址赋给edx,注意是堆栈地址,不是堆栈地址上存储的数据。
call 0045255c
call内部:
mov esi,edx
...
push esi
那么在写call调用的时候,怎么办呢?
只需要查看当程序停在call处时,edx寄存器的数值,然后去找到edx数值代表的堆栈地址处存储的数据是什么。
是1,所以我们就可以通过ce查找出当前为0的值,为0可能就是无关数据,选择一个地址,修改为1,然后将该地址
赋给edx。
就是mov edx, xxxxx
call 0045255c
作者:
lhq19880526
时间:
2018-12-13 11:23
嘻嘻不错支持一个
作者:
w115182772
时间:
2018-12-13 11:46
还是看不懂,复杂
作者:
骚年
时间:
2018-12-13 12:10
不错不错 支持下
作者:
q13129841235
时间:
2018-12-13 12:33
学习一下!十分感谢
作者:
萨拉空军司令的
时间:
2018-12-13 12:57
我表示压力很大
作者:
养猪大户
时间:
2018-12-13 13:40
学习了!!!!
作者:
物语
时间:
2018-12-13 14:23
我表示压力很大
作者:
444555
时间:
2018-12-13 15:06
碉堡了!
作者:
wwww
时间:
2018-12-13 15:49
赞一个!
作者:
养猪大户
时间:
2018-12-13 16:31
必须支持。。。。。。。
作者:
阿运
时间:
2018-12-13 16:56
前来支持~~~~~~~~~~~~~~~~~~~
作者:
霸王喝粥
时间:
2018-12-13 17:20
学习了,这就去试试
作者:
骑着蚂蚁兜风
时间:
2018-12-13 17:44
感谢您的无私精神...
作者:
霸王喝粥
时间:
2018-12-13 18:08
我表示压力很大
作者:
阿运
时间:
2018-12-13 18:32
前来围观,LZ好样的!
作者:
找找找
时间:
2018-12-13 19:46
谢谢楼主的辛苦分享
作者:
asd3186789
时间:
2018-12-13 21:01
不错不错 支持下
作者:
1150531613
时间:
2018-12-13 22:15
学习了,这就去试试
作者:
1811581892
时间:
2018-12-13 23:29
支持一下,期待更多东西
作者:
物语
时间:
2018-12-14 00:43
支持!!!!前排!!!!
作者:
wz19981007
时间:
2018-12-14 01:21
很给力。。。。很喜欢
作者:
lllll557
时间:
2018-12-14 01:59
这个好好支持一下
作者:
IUYUYUUYUY
时间:
2018-12-14 02:37
期待中......
作者:
付出又有回报
时间:
2018-12-14 03:15
顶一个了
作者:
南宫无情
时间:
2018-12-14 03:53
提示:
作者被禁止或删除 内容自动屏蔽
作者:
6360120
时间:
2018-12-14 04:01
谢谢楼主的辛苦分享
作者:
卧槽你妹
时间:
2018-12-14 04:08
学习了,这就去试试
作者:
6360120
时间:
2018-12-14 04:15
非常不错,感谢分享!
作者:
舞步
时间:
2018-12-14 04:23
碉堡了!
作者:
qazqaz
时间:
2018-12-14 04:30
藕是来打酱油滴...
作者:
qq2556906318
时间:
2018-12-14 05:09
学习了!!!!
作者:
咬牙坚持
时间:
2018-12-14 05:48
支持!!!!!!
作者:
542134120.
时间:
2018-12-14 06:26
提示:
作者被禁止或删除 内容自动屏蔽
作者:
咬牙坚持
时间:
2018-12-14 07:05
顶起 很好的帖
作者:
542134120.
时间:
2018-12-14 07:44
提示:
作者被禁止或删除 内容自动屏蔽
作者:
企鹅6655
时间:
2018-12-14 08:51
支持,赞
作者:
SMoke
时间:
2018-12-14 09:58
不错不错 支持下
作者:
zf123456
时间:
2018-12-14 11:06
很不错的哦,支持,加油
作者:
何海银
时间:
2018-12-14 12:13
碉堡了!
作者:
zf123456
时间:
2018-12-14 13:20
必须支持。。。。。。。
作者:
幻之灭
时间:
2018-12-14 13:43
学习了,这就去试试
作者:
幻之灭
时间:
2018-12-14 14:06
这个好好支持一下
作者:
毛泽东
时间:
2018-12-14 14:29
顶一个了
作者:
qq1423845446
时间:
2018-12-14 14:51
很不错的哦,支持,加油
作者:
2549051527
时间:
2018-12-14 15:14
提示:
作者被禁止或删除 内容自动屏蔽
作者:
尘封
时间:
2018-12-14 15:35
不错!顶LZ
作者:
尘封
时间:
2018-12-14 15:55
支持一下,期待更多东西
作者:
a1031399528a
时间:
2018-12-14 16:16
这个好好支持一下
作者:
80590711
时间:
2018-12-14 16:36
不错哦 喜欢 嘿嘿
作者:
好萌哦
时间:
2018-12-14 16:57
顶起 很好的帖
作者:
1378409920
时间:
2018-12-14 17:58
支持,赞
作者:
1378409920
时间:
2018-12-14 19:00
不错!顶LZ
作者:
zzq6689@qq.com
时间:
2018-12-14 20:02
提示:
作者被禁止或删除 内容自动屏蔽
作者:
w115182772
时间:
2018-12-14 21:03
非常不错,感谢分享!
作者:
物语
时间:
2018-12-14 22:05
必须支持。。。。。。。
欢迎光临 觅风论坛 (https://www.eyyba.com/)
Powered by Discuz! X3.4