调试的时候碰到这种情况怎么处理...-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 2 楼程序带壳? 2005-4-21 14:44 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 3 楼最初由 baby2008 发布程序带壳? 无壳.. 2005-4-21 14:44 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 4 楼这种情况一般不是程序带有花指令，就是OPCODE代合起来可以成为一句汇编，分开又可以成为另一句汇编，令OD实时反汇编将代码（OPCODE代码）开始地址计算出错导致反汇编错了的原因。其实花指令就利用这个方法迷惑反汇编器的。 2005-4-21 14:53 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 5 楼最初由小虾发布这种情况一般不是程序带有花指令，就是OPCODE代合起来可以成为一句汇编，分开又可以成为另一句汇编，令OD实时反汇编将代码（OPCODE代码）开始地址计算出错导致反汇编错了的原因。其实花指令就利用这个方法迷惑反汇编器的。怎么解决呢??? 2005-4-21 14:54 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 6 楼你也可以试试在OD中按着Ctrl键时再按↑或↓键看看OD的窗口变有什么变化你就明白了。 2005-4-21 14:56 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 7 楼最初由小虾发布你也可以试试在OD中按着Ctrl键时再按↑或↓键看看OD的窗口变有什么变化你就明白了。没什么变化嘛...怎么处理这种情况呢.调试很不方便啊... 2005-4-21 15:18 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼手动把某些字节直接改为90，就能看到正确指令。看完后再恢复 2005-4-21 15:20 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 9 楼最初由鸡蛋壳发布手动把某些字节直接改为90，就能看到正确指令。看完后再恢复很遗憾.试过了.如果改成90的话.那么正确指令的相应位置也变成90,立刻出错. 2005-4-21 15:52 0
jianlizhao 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 74 粉丝 0 关注私信	jianlizhao 10 楼我是个菜鸟，我觉得是花指令在作怪，用系统级的调试工具，动态跟踪一下，或许可以找到答案 2005-4-21 16:18 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 11 楼没有高手给指条路嘛??? 2005-4-21 20:23 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 12 楼试试在OD窗口里按Ctrl+G键，输入006ECEA3，确定，看能不能回到006ECEA3那处的代码。 2005-4-21 20:33 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 13 楼最初由小虾发布试试在OD窗口里按Ctrl+G键，输入006ECEA3，确定，看能不能回到006ECEA3那处的代码。可以的..但是一上下拉就不正常了.. 2005-4-21 20:49 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 14 楼每个字节指定位都下个 bp，运行，中断后，再取消其它的int3，应该就是程序要运行的指令了，若不是你先前看到的指令，就适当加nop突出程序实际运行的指令。。。如果拉窗口就不正常，你可以看看Delphi的程序，函数或入口多数都是被隐藏起指令来的 2005-4-21 21:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 2 楼程序带壳? 2005-4-21 14:44 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 3 楼最初由 baby2008 发布程序带壳? 无壳.. 2005-4-21 14:44 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 4 楼这种情况一般不是程序带有花指令，就是OPCODE代合起来可以成为一句汇编，分开又可以成为另一句汇编，令OD实时反汇编将代码（OPCODE代码）开始地址计算出错导致反汇编错了的原因。其实花指令就利用这个方法迷惑反汇编器的。 2005-4-21 14:53 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 5 楼最初由小虾发布这种情况一般不是程序带有花指令，就是OPCODE代合起来可以成为一句汇编，分开又可以成为另一句汇编，令OD实时反汇编将代码（OPCODE代码）开始地址计算出错导致反汇编错了的原因。其实花指令就利用这个方法迷惑反汇编器的。怎么解决呢??? 2005-4-21 14:54 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 6 楼你也可以试试在OD中按着Ctrl键时再按↑或↓键看看OD的窗口变有什么变化你就明白了。 2005-4-21 14:56 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 7 楼最初由小虾发布你也可以试试在OD中按着Ctrl键时再按↑或↓键看看OD的窗口变有什么变化你就明白了。没什么变化嘛...怎么处理这种情况呢.调试很不方便啊... 2005-4-21 15:18 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼手动把某些字节直接改为90，就能看到正确指令。看完后再恢复 2005-4-21 15:20 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 9 楼最初由鸡蛋壳发布手动把某些字节直接改为90，就能看到正确指令。看完后再恢复很遗憾.试过了.如果改成90的话.那么正确指令的相应位置也变成90,立刻出错. 2005-4-21 15:52 0
jianlizhao 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 74 粉丝 0 关注私信	jianlizhao 10 楼我是个菜鸟，我觉得是花指令在作怪，用系统级的调试工具，动态跟踪一下，或许可以找到答案 2005-4-21 16:18 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 11 楼没有高手给指条路嘛??? 2005-4-21 20:23 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 12 楼试试在OD窗口里按Ctrl+G键，输入006ECEA3，确定，看能不能回到006ECEA3那处的代码。 2005-4-21 20:33 0
cigaiettes 雪币： 207 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	cigaiettes 13 楼最初由小虾发布试试在OD窗口里按Ctrl+G键，输入006ECEA3，确定，看能不能回到006ECEA3那处的代码。可以的..但是一上下拉就不正常了.. 2005-4-21 20:49 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 14 楼每个字节指定位都下个 bp，运行，中断后，再取消其它的int3，应该就是程序要运行的指令了，若不是你先前看到的指令，就适当加nop突出程序实际运行的指令。。。如果拉窗口就不正常，你可以看看Delphi的程序，函数或入口多数都是被隐藏起指令来的 2005-4-21 21:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复