尝试写个脚本，边看说明边写的。。。 估计错误大大的

var StackPosBegin
var StackContent
var StackContentLength
var StackPosEnd   
   
ask "Enter StackPos"
cmp $RESULT, 0
je cancel_pressed
mov StackPos, @RESULT
   
ask "Enter StackContent"
cmp $RESULT, 0
je cancel_pressed
mov StackContent, @RESULT

ask "Enter StackContentLength"
cmp $RESULT, 0
je cancel_pressed
mov StackContentLength, @RESULT
   
mov StackPosEnd, StackPosBegin   
add StackPosEnd, StackContentLength      
   
bphws StackPosEnd, "w"
inc StackPosEnd
      
eoe main   //这个是啥意思？是不是只要发生中断，不管发生多少次 都会执行main呢？
eob main
   
main:
    find StackPosBegin, StackContent
    cmp $RESULT, StackPosEnd
    je OK
    run
    jmp main     //如果每次中断都执行main，那要这个循环干吗？
   
ok:
    msg "ok, stop here"
    dec StackPosEnd
    bphws StackPosEnd
   
        
cancel_pressed:
    msg "abort"

写了个简单，不过这鬼东西怎么运行起来呢。。。。

bphws 12EEB1, "w"   //载入以后 发现没有硬件断点！！！！！！！
      
eoe main
eob main
   
main:
    find 12EEA2, #45344237424335323433343342463930#
    cmp $RESULT, 0
    jne ok
    run
    jmp main
   
ok:
    msg "ok, stop here"
    bphws 12EEB1

这个脚本能运行了，不过好象因为单步的原因，被调试的程序就一串西八乱的代码中发生死循环。。。。

还有就是直接在堆栈里面下内存断点或者硬件读写断点，统统失败，断不下来

   
bphws 0055597F, "x"

cob
coe         
sti

   
main:
    find 12EEa3, #BCED54EFBFE385BA#
    cmp $RESULT, 0
    jne ok
    sti
    jmp main
   
ok:
    msg "ok, stop here"
    bphwc 0055597F

加油哥们~~~~~~~~~~~~

加个PP啊， 一路F7是进入死循环了，NND， 看来得研究花花指令是个啥东西了， 不过这个花花好象比一般的难，居然会对抗调试！

加油~~不要放弃

看来是可行的，那个脚本运行了一夜，看来那个不是死循环，只是运行了很多次的垃圾代码，不过我把特征码选错了，只能继续运行了，白天停下来，等晚上继续运行！还是想偷懒 ，等下次再去研究花指令

为什么白天要停下来?  电脑又不会累.

没办法 那个脚本不停的话 OD就老是给自己焦点 那就做不成别的事情了

可以开在虚拟机里么。