首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] ollydbg中如何确定是哪个CALL进入到断下的代码? 0.00雪花
发表于: 2010-2-17 22:00 4552

[旧帖] ollydbg中如何确定是哪个CALL进入到断下的代码? 0.00雪花

qiqizhu 活跃值
2010-2-17 22:00
4552
如图,0047426C是个子进程,我想知道,当前调试的情况下,确定是从哪个CALL中过来的。
调用这个子进程的实在是太多了,如何确定是从哪里跳过来呢?

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
petnt
雪    币: 485
活跃值: (12)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
私信
2
看堆栈,返回去的地址在顶上呢
2010-2-17 22:10
0
zapline
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
右键 - 前往 - 上一个
2010-2-17 22:18
0
atkdef
雪    币: 224
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
在函数头(esp未改变之前),esp指向的即为调用的位置。

当然,防君子不防小人。
遇到
push 返回地址
jmp 函数入口
这就郁闷了。。
2010-2-17 22:28
0
zapline
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
还可以 ctrl+F9
2010-2-17 23:14
0
xiilin
雪    币: 401
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
嗯,在堆栈有返回地址,或者Ctrl+F9直接跑出去这个call,上一句就是调用它的地方了。
2010-2-17 23:14
0
xiilin
雪    币: 401
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
哈哈,我比你晚了十几秒……看来训练打字速度很重要哇  
2010-2-17 23:15
0
听风雪中
雪    币: 436
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
楼主是如何显示最下一行的,我的怎么不行,是插件吗
2010-2-17 23:21
0
qiqizhu
雪    币: 166
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
找到最笨的办法,按F8,执行到它返回...
2010-2-18 00:33
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//