OD步过后,返回到之前某位置,重新单步执行
找到你想返回的行,
右键选择New origin here,快捷键Ctrl+Gray *,
然后程序会返回到这一行,再次按F7或者F8等执行即可
从77C3078F再次执行
定位代码,逐行执行
对于代码量较小的程序,这种方式也是可以接受的。
方法就是一直F7配合F8等,直到调用我们想要的功能,
那CALL调用的这个函数就是我们要定位的函数了。
定位代码,快速搜索
OD加载待调试程序时,会预分析过程。
此过程会查看进程内存,程序中引用的字符串和API会被摘录出来。
也可以利用这个特点快速定位。
过程如下:
1.首先用OD打开待调试的程序
2.右键, Search for, All referenced text strings
这时候会打开R窗口,显示搜索的结果,
3.R窗口中查询你要查询的字符串
右键, Search for text,输入你要查询的字符串
找到你要查找的字符串,比如Hello World!
4.双击,定位到函数
5.Dump窗口查看数据
点击下方Dump查看内存窗口,
快捷键Ctrl+G,或者
右键Go to, Expression
输入Hello World!地址00A42108,
定位代码,API检索定位,在调用代码中定位
同样利用OD预分析加载的特性,通过API实现代码定位。
用OD打开待调试的程序,然后,
右键,Search for, All intermodular calls,
查询结果会显示在R窗口,
你可以对API列表排序,Sort by, Destination
然后,找到你认为是目标的那个API函数,双击,
比如,我这里就打印了一个字符串Hello World!,API函数用的MessageBox,我就找到这个API双击
然后,OD会定位到目标函数内部,看看是不是你要找的那个。
同样的可以在Dump窗口查看内存。
定位代码,API检索定位,API代码中定位
有时候发布的程序代码会被压缩或者保护起来,这样OD的预分析加载就废掉了,上面的方式就不能使用了。
这时候,我们需要通过对程序加载的DLL进行分析,在DLL中筛选合适的目标API,进API中下断点,然后调试。
比如还是用MessagexBox这个API打印Hello World!字符串,我们假设程序被压缩或者保护了。
分析下目标特征,弹窗打印了一个字符串,那这个应该是使用的MessagexBox这个函数,这个API所在的DLL
是USER32.DLL,那我们就从USER32.DLL下手。
打开内存映射窗口,菜单栏,View, Memory 或者快捷键 Alt+M
找到USER32.DLL,确认被加载到了内存,
列出所有模块中的API,点击C窗口,右键,Search for, Name in all modules,结果会显示在N窗口,
可以点击Name按名字排序,键盘直接输入要查询的API名字,就会自动定位,
上图中显示出了含有MessageBox字符的所有DLL,这里我们只关心USER32.DLL,
双击MessageBoxW(UNICODE版),跳转到函数实现代码,F2下断点,F9继续执行代码。
程序暂停到了API断点处,F8单步步过执行代码,成功打印显示窗口。
左下角寄存器ESP的值就是调用该函数的进程栈地址,这里我忘记记录了,重新模拟一遍,仅作验证。 
00A41014是返回地址,也就是CALL调用MessageBox后,下一条要执行的指令所在地址,那CALL调用就是上一条真正调用MessageBox的地址。
跟踪查看地址,Ctrl+G 
红色表示过程调用地址,绿色表示过程返回地址。 
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
