peng05的博客

3.接着按下【Shift+F9】，然后再次按下【ALT+M】，再次来到了这个位置，我们在【00401000】处下一个【F2】断点。2.不要运行程序，直接按下【Alt+ M】 切换到以下模块，选择.rsrc资源，并下一个【F2】断点。1.OD载入程序，并打开【选项】-> 【调试选项】 -> 【异常】 -> 【忽略所有异常】。调试选项异常全部取消，【Shift+F9】定位到异常次数-1,看异常句柄单步调试。调试选项->SFX->字节方式跟踪，然后查看左下角信息提示进度。

零标志（ZF, Zero Flag）符号标志（SF, Sign Flag）溢出标志（OF, Overflow Flag）进位标志（CF, Carry Flag）辅助进位标志（AF, Auxiliary Carry Flag）奇偶标志（PF, Parity Flag）陷阱标志（TF, Trap Flag）中断允许标志（IF, Interrupt Flag）

1. INT3断点（CC断点）设置方式：直接按F2键或使用bp命令设置。 原理：当执行一个INT3断点时，该地址处的内容被调试器用INT3（机器码是0xCC）指令替换。OllyDbg隐藏INT3指令，显示出来的仍然是中断前的指令。当调试进程执行INT3指令导致一个异常时，调试器会捕捉这个异常，从而停在断点处，然后将断点处的指令恢复成原来的指令。 优点：可以设置无数个断点。 缺点：改变了机器码，容易被软件检测到。2. 硬件断点设置方式：右键单击要断点的位置，选择“Breakpoint”-&gt

特征码：FF 93 20 01 00 00 5B C3 53。FF 55 FC 5F 5E或(e-debug)mfc会断用mfc32.dll vc++不用调用。特征码：F3A58BC883E103F3A4E8。查看——》user32 在搜索。特征码：sub eax,0a。特征码：sub eax,0a。进入mfc.dll搜索。特征码：816C24。