导读
觅风论坛学破解专用OD下载-支持学破解支持

觅风论坛学破解专用OD下载-支持学破解支持学制作专用OD,优化内容【更新2018.7.11】 适合 觅风论坛学员 详细

[教程] 解密——OD使用指南

[复制链接]

微信扫一扫 分享朋友圈

天心我爱 发表于 2018-12-13 10:59:54 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题

马上注册,结交更多易友,享用更多功能,让你轻松玩转觅风论坛。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
1.OD中ctrl+f9:运行到返回,就是运行到当前断点所在的函数末尾"retn xxx"处,若xxx=10,那么

10等于10进制的16,就是说这个函数有4个参数,一个参数默认是占4字节,所以就是retn 10。



2.调试程序时,在OD内部小窗口左上角会显示当前断点所在的函数层,是在系统领空还是某个应用程序领空。



3.call前出现lea edx,dword ptr ss:[ebp-x]的分析方法:

当在call处出现类似于下面,在call内部存在对edx的使用时:

call处:

lea edx,dword ptr ss:[ebp-8]   ;将ebp-8堆栈地址赋给edx,注意是堆栈地址,不是堆栈地址上存储的数据。

call 0045255c

call内部:

mov esi,edx

...

push esi

那么在写call调用的时候,怎么办呢?

只需要查看当程序停在call处时,edx寄存器的数值,然后去找到edx数值代表的堆栈地址处存储的数据是什么。

是1,所以我们就可以通过ce查找出当前为0的值,为0可能就是无关数据,选择一个地址,修改为1,然后将该地址

赋给edx。

就是mov edx, xxxxx

call 0045255c




回复

使用道具 举报

精彩评论55

lhq19880526 发表于 2018-12-13 11:23:21 | 显示全部楼层
嘻嘻不错支持一个
回复 支持 反对

使用道具 举报

w115182772 发表于 2018-12-13 11:46:48 | 显示全部楼层
还是看不懂,复杂
回复 支持 反对

使用道具 举报

骚年 发表于 2018-12-13 12:10:15 | 显示全部楼层
不错不错 支持下
回复 支持 反对

使用道具 举报

q13129841235 发表于 2018-12-13 12:33:43 | 显示全部楼层
学习一下!十分感谢
回复 支持 反对

使用道具 举报

萨拉空军司令的 发表于 2018-12-13 12:57:10 | 显示全部楼层
我表示压力很大
回复 支持 反对

使用道具 举报

养猪大户 发表于 2018-12-13 13:40:08 | 显示全部楼层
学习了!!!!
回复 支持 反对

使用道具 举报

物语 发表于 2018-12-13 14:23:06 | 显示全部楼层
我表示压力很大
回复 支持 反对

使用道具 举报

444555 发表于 2018-12-13 15:06:03 | 显示全部楼层
碉堡了!
回复 支持 反对

使用道具 举报

wwww 发表于 2018-12-13 15:49:01 | 显示全部楼层
赞一个!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关注我们:觅风论坛与你快乐分享

收藏本站

用心服务做个非盈利公益编程网站

www.eyyba.com

服务人:觅风论坛

Email:eyyba@foxmail.com

Powered by WWW.EYYBA.COM X3.4© 2001-2023 Inc.   版权所有   

觅风论坛  疆ICP备15020893号-1