00406DD0 此处shift+f4
Expression填edx
Pause program选none
Log value of expression选Always。

记录的值就会出现在log窗口里

谢谢高手。请问有没有方法可以记录到文本里呢，因为目标测试机器是03系统，不可以调试该软件，我想在OD里修改这个软件，把它放到03系统里，看下打印出来的log，分析结果

00406DCC ： call XXXXXX
00406DD1 ： nop

XXXXXXXX:
pushad
push edx
CALL logedx  ;__stdcall
popad
mov     edx, dword ptr [eax+edx*8+4]
call    edx
ret

WRT "od.txt",$RESULT

不知道这个是不是，你可以查看od script的帮助，

[QUOTE=瘋子;786888]00406DCC ： call XXXXXX
00406DD1 ： nop

XXXXXXXX:
pushad
push edx
CALL logedx  ;__stdcall
popad
mov     edx, dword ptr [eax+edx*8+4]
call    e...[/QUOTE]

感谢高手的帮助！
请问下 call logedx ;__stdcall 这个函数需要自己写吗？  logedx是自己写的函数的地址吧？
我昨天自己尝试，hook了00406DCC地址，让它jmp到我的dll里，然后写完文本之后，ret的时候发现ret不到406dcc里面去了。。
                __asm
        {
                pushad
                push ecx
                call edx
                ret     //这里ret不到原来调用它的00406DCC这个地址。
                popad
               
        }
   请教高手。。能不能用jmp直接跳回去，会不会导致堆栈不平衡。