OllyDbg跟踪记录插件 -- prince's TracKid V1.20(升级)  测试发布

        按照Luocong大侠的指点，使用OD自己的API获取中断地址EIP解决了上个版本地址错误的问题（仅在XP SP2下测试通过），看来OD自己对异常地址进行了处理。多谢Luocong大侠。暂时还没有在98和2K系统下测试，希望得到朋友们在这两个平台下的结果反馈，谢谢。
       
        修整文件记录F9分隔行没有回车换行的BUG。

        任何问题请致：Cracker_prince@163.com, QQ: 812937

                                                                                 prince 2005.03.01

---------------------------------------------------------------------------------------------------------------------------
        OllyDbg跟踪记录插件 -- prince's TracKid V1.10(beta)　测试发布

        相信广大小菜们都有这样的调试经验：F8, F8, F7, F8,　几步走来，突然程序跟飞了！又要重新来，麻烦。考虑到这种情况，利用空余写了记录跟踪过程的小插件，希望在调试的时候帮上点小忙。

        原理：调试时对F4, F7, F8, F9进行键盘监视，每次利用快捷键调试时都会被TracKid记录到文件中，以备事后查看。

        使用方法：加载程序，点击插件->Start Tracking，然后即可进行正常跟踪。结束跟踪点击插件->End Tracking。注意，由于使用键盘监视方式，所以只能使用快捷键F4, F7, F8, F9进行跟踪才能进行记录。TracKid会在OllyDbg.exe目录下新建TracKid Log文件夹，里面存放程序的调试记录，调试完可以到TracKid目录下查看相应的文件。

        存在的问题：TracKid通过GetThreadContext函数获取被调试程序的线程环境CONTEXT结构，该结构中的Eip存放的就是异常发生的地址。在98系统下CONTEXT结构的EIP值为发生异常地址+1，可是在2000下我得到的结果不全是这样，例如，某程序调试记录：

0041f3f4 -- F8             ---> 在OD中为0041f3f3
0041f3f5 -- F8
0041f3f7 -- F8
0041f40d -- F8
0041f40e -- F8
0041f415 -- F8             ---> 在OD中为0041f414
0041f416 -- F8
0041f421 -- F8
0041f424 -- F8
0041f42c -- F8
0041f42f -- F8
0041f435 -- F8
0041f436 -- F8
77f97b1d -- F9
-------------------------

        所以如果大家在记录中发现错误的地址，可以将该地址-1之后再下断点即可。
        小弟不才，不知道该如何解决这个问题，烦恼之极，如有哪位大侠知道，还请不吝赐教，多谢。

        声明：由于采用了键盘监视技术，所以您的杀毒软件或类似安全工具可能会报警说OllyDbg正在监视键盘输入，本人没有在插件中放置任何恶意代码，如有疑问，请勿使用。

        任何问题可致：Cracker_prince@163.com,    QQ: 812937

                                                                 prince 2005.02.27

升级文件V1.20（上个版本请版主删除）：

附件:TracKid.rar

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法