[求助]关于od的断点。还有个花指令的问题,请求帮助。-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 2 楼找到个差不多的功能 "代码分析" 2011-4-15 18:19 0
pnccm 雪币： 9917 活跃值： (475) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	pnccm 3 楼 OD有那么神吗？暂时还没有听说过有这样的一个功能 2011-4-15 20:35 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 4 楼楼主说的第一个功能，完全可以自己写插件实现～只要你的机器抗得起。不过原谅我～我现在狠懒～而且断网了心情狠不好～第二个功能～如果是我，我就让程序跑起来再分析～ 2011-4-18 15:57 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 5 楼修整一下原来第一个功能就是叫run 跟踪 2011-4-20 21:22 0
太医雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	太医 6 楼第一个可以通过下执行断点达到目的，第二个可以先用IDA看一下大体流程 2011-4-23 14:59 0
blissme 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	blissme 7 楼是不是做免做呢？ 2011-4-24 00:44 0
wzb 雪币： 110 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	wzb 8 楼你的问题估计是一种对OD的欺骗的花指令，我前几天碰到一个，你看和你的一样不： 0405001 > E8 03000000 call 00405009 00405006 - E9 EB045D45 jmp 459D54F6 0040500B 55 push ebp 0040500C C3 retn 0040500D 90 nop 0040500E E8 01000000 call 00405014 在0405001处有一个call如果你F8就跑飞了。 OD的F8的原理是在下一个指令处设CC断点，然后执行但是这个call把返回地址改了，F7进入看一下： 00405003 0000 add byte ptr [eax], al 00405005 00E9 add cl, ch 00405007 /EB 04 jmp short 0040500D 00405009 5D pop ebp ; crackme6.00405006 0040500A 45 inc ebp 0040500B 55 push ebp 0040500C C3 retn 0040500D 90 nop 0040500E E8 01000000 call 00405014 原来的返回地址是00405006，call把地址加一改成了00405007 00405007处没有断点，就跑飞了。 00405007处把一条指令强行分成两条，然后跳到下边继续执行。其实这个call什么也没做，就是一个花指令，如果在一个循环内有这么一个花指令那么你岂不是要一直在里边循环，F4是出不来得，因为F4是下硬件断点，然后run 而你一旦没有单步步入，马上跑飞可以用简单的jmp代替他，然后你就放心的F4吧 2011-6-21 18:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 2 楼找到个差不多的功能 "代码分析" 2011-4-15 18:19 0
pnccm 雪币： 9917 活跃值： (475) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	pnccm 3 楼 OD有那么神吗？暂时还没有听说过有这样的一个功能 2011-4-15 20:35 0
weizehua 雪币： 143 活跃值： (61) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 208 粉丝 1 关注私信	weizehua 1 4 楼楼主说的第一个功能，完全可以自己写插件实现～只要你的机器抗得起。不过原谅我～我现在狠懒～而且断网了心情狠不好～第二个功能～如果是我，我就让程序跑起来再分析～ 2011-4-18 15:57 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 5 楼修整一下原来第一个功能就是叫run 跟踪 2011-4-20 21:22 0
太医雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	太医 6 楼第一个可以通过下执行断点达到目的，第二个可以先用IDA看一下大体流程 2011-4-23 14:59 0
blissme 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	blissme 7 楼是不是做免做呢？ 2011-4-24 00:44 0
wzb 雪币： 110 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	wzb 8 楼你的问题估计是一种对OD的欺骗的花指令，我前几天碰到一个，你看和你的一样不： 0405001 > E8 03000000 call 00405009 00405006 - E9 EB045D45 jmp 459D54F6 0040500B 55 push ebp 0040500C C3 retn 0040500D 90 nop 0040500E E8 01000000 call 00405014 在0405001处有一个call如果你F8就跑飞了。 OD的F8的原理是在下一个指令处设CC断点，然后执行但是这个call把返回地址改了，F7进入看一下： 00405003 0000 add byte ptr [eax], al 00405005 00E9 add cl, ch 00405007 /EB 04 jmp short 0040500D 00405009 5D pop ebp ; crackme6.00405006 0040500A 45 inc ebp 0040500B 55 push ebp 0040500C C3 retn 0040500D 90 nop 0040500E E8 01000000 call 00405014 原来的返回地址是00405006，call把地址加一改成了00405007 00405007处没有断点，就跑飞了。 00405007处把一条指令强行分成两条，然后跳到下边继续执行。其实这个call什么也没做，就是一个花指令，如果在一个循环内有这么一个花指令那么你岂不是要一直在里边循环，F4是出不来得，因为F4是下硬件断点，然后run 而你一旦没有单步步入，马上跑飞可以用简单的jmp代替他，然后你就放心的F4吧 2011-6-21 18:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]关于od的断点。还有个花指令的问题,请求帮助。 0.00雪花