觅风论坛 › 易语言编程 › 解密——OD使用指南

天心我爱 发表于 2018-12-13 10:59:54

解密——OD使用指南

1.OD中ctrl+f9:运行到返回，就是运行到当前断点所在的函数末尾"retn xxx"处，若xxx=10，那么

10等于10进制的16，就是说这个函数有4个参数，一个参数默认是占4字节，所以就是retn 10。



2.调试程序时，在OD内部小窗口左上角会显示当前断点所在的函数层，是在系统领空还是某个应用程序领空。



3.call前出现lea edx,dword ptr ss:的分析方法：

当在call处出现类似于下面，在call内部存在对edx的使用时：

call处：

lea edx,dword ptr ss:   ;将ebp-8堆栈地址赋给edx，注意是堆栈地址，不是堆栈地址上存储的数据。

call 0045255c

call内部：

mov esi,edx

...

push esi

那么在写call调用的时候，怎么办呢？

只需要查看当程序停在call处时，edx寄存器的数值，然后去找到edx数值代表的堆栈地址处存储的数据是什么。

是1，所以我们就可以通过ce查找出当前为0的值，为0可能就是无关数据，选择一个地址，修改为1，然后将该地址

赋给edx。

就是mov edx, xxxxx

call 0045255c

lhq19880526 发表于 2018-12-13 11:23:21

嘻嘻不错支持一个

w115182772 发表于 2018-12-13 11:46:48

还是看不懂，复杂

骚年 发表于 2018-12-13 12:10:15

不错不错 支持下

q13129841235 发表于 2018-12-13 12:33:43

学习一下！十分感谢

萨拉空军司令的 发表于 2018-12-13 12:57:10

我表示压力很大

养猪大户 发表于 2018-12-13 13:40:08

学习了！！！！

物语 发表于 2018-12-13 14:23:06

我表示压力很大

444555 发表于 2018-12-13 15:06:03

碉堡了!

wwww 发表于 2018-12-13 15:49:01

赞一个!

查看完整版本: 解密——OD使用指南