-
-
跟踪PEquake的疑惑
-
发表于:
2011-3-2 22:53
12832
-
单步跟踪和直接下断点(BP xxxxxxxx)有什么区别呢?
最近在看<<看雪学院十周年纪念收藏版>>的关于脱壳的文章,看了不少壳,跟着教程,盲人摸象,学到了不少东西。。
最近看到一篇文章PEquake记事本脱壳(http://bbs.pediy.com/showthread.php?t=93063 ),发现在文章的一句:“在入口处下断点bp 392597 F9运行来到这里”,
00392597 E8 00000000 call 0039259C
0039259C 5D pop ebp
0039259D 81ED A4184000 sub ebp,4018A4
003925A3 68 F4010000 push 1F4
003925A8 FF95 B1634000 call dword ptr ss:[ebp+4063B1]
我单步运行怎么也到不了00392597那里,但按他说的那样下断点BP 392597然后按F9,就达到了。。这是为什么呢?
我的调试时这样的:载入,设置:非法访问内存不勾,其它异常全勾
F9+20*(SHIFT+F9),当按第21下(SHIFT+F9),程序就退出了,所以在第20下的时候进入SEH一看究竟,进去后又有四个除0异常,全部都进去看,他们的handler,分别是3920D4,3921F0,392262,3922A4,进到3922A4后,一直单步运行(只是步过系统的DLL),曾经到过上面文章的CreateThread,并且确定程序与上面文章执行到是同等的程度,但是总不能到达392597,请问这是为什么呢?
所以不知道是不是单步和直接下断点执行会有所不同?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课