[推荐]果断的发个帖关于OD的执行的到用户代码不成功的原因!-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼应该是在堆栈里面的返回地址上下断吧!进CALL时把返回地址藏进来,到要返回时在显示,就可以Pass Atl+F9 ps:经测试,的确是这样,你随便进一个CALL 然后修改下返回地址,然后按ATL+F9 就会直接跳到你修改的地址! 2011-5-1 13:30 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 3 楼你说的这个我倒是清楚,但还是有点想不明白,出现消息框,暂停,执行到用户代码确定之后 EIP直接到MessageBox的下一行.有一点很奇怪. 就是在确定之前,你检查断点(就是OD上面的B),那里面有一条叫做One_shot 闪得很厉害,不知道怎么原因! 2011-5-1 16:16 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 4 楼但还是有点想不明白,出现消息框,暂停,执行到用户代码确定之后 EIP直接到MessageBox的下一行这个倒是新发现,但调试一下你会发现,出现信息框后暂停,EIP会在系统领域(信息框消息循环中),堆栈中有不少返回地址,但有不少是系统领域的返回地址,而ATL+F9是执行到用户领域,堆栈中第一个用户领域的返回地址即是调用MessageBox的下一行 One_shot 在哪?上图~ 2011-5-1 16:25 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 5 楼先上个图,你可以自己试一下,这也是我最近才发现的,很奇怪! 而且那个地址不是固定的,老是在跳变,你自己跟一下就知道了上传的附件： 1.JPG （99.38kb，78次下载） 2011-5-1 16:42 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 6 楼 [QUOTE=liuqiangni;953952]先上个图,你可以自己试一下,这也是我最近才发现的,很奇怪! 而且那个地址不是固定的,老是在跳变,你自己跟一下就知道了[/QUOTE] 我用的是中文版的,不知道One_shot是什么状态 2011-5-1 16:51 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 7 楼中文的也有啊上个图上传的附件： 2.JPG （28.07kb，75次下载） 2011-5-1 17:02 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 8 楼 [QUOTE=liuqiangni;953960]中文的也有啊上个图 [/QUOTE] 只一次是什么断点?怎么下的?没用过~ 2011-5-1 17:04 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 9 楼断点不是我下的,是OD自己下的,我点执行到用户断点,然后Breakpoint 里面就会有这个,而且还老跳变 2011-5-1 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼应该是在堆栈里面的返回地址上下断吧!进CALL时把返回地址藏进来,到要返回时在显示,就可以Pass Atl+F9 ps:经测试,的确是这样,你随便进一个CALL 然后修改下返回地址,然后按ATL+F9 就会直接跳到你修改的地址! 2011-5-1 13:30 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 3 楼你说的这个我倒是清楚,但还是有点想不明白,出现消息框,暂停,执行到用户代码确定之后 EIP直接到MessageBox的下一行.有一点很奇怪. 就是在确定之前,你检查断点(就是OD上面的B),那里面有一条叫做One_shot 闪得很厉害,不知道怎么原因! 2011-5-1 16:16 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 4 楼但还是有点想不明白,出现消息框,暂停,执行到用户代码确定之后 EIP直接到MessageBox的下一行这个倒是新发现,但调试一下你会发现,出现信息框后暂停,EIP会在系统领域(信息框消息循环中),堆栈中有不少返回地址,但有不少是系统领域的返回地址,而ATL+F9是执行到用户领域,堆栈中第一个用户领域的返回地址即是调用MessageBox的下一行 One_shot 在哪?上图~ 2011-5-1 16:25 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 5 楼先上个图,你可以自己试一下,这也是我最近才发现的,很奇怪! 而且那个地址不是固定的,老是在跳变,你自己跟一下就知道了上传的附件： 1.JPG （99.38kb，78次下载） 2011-5-1 16:42 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 6 楼 [QUOTE=liuqiangni;953952]先上个图,你可以自己试一下,这也是我最近才发现的,很奇怪! 而且那个地址不是固定的,老是在跳变,你自己跟一下就知道了[/QUOTE] 我用的是中文版的,不知道One_shot是什么状态 2011-5-1 16:51 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 7 楼中文的也有啊上个图上传的附件： 2.JPG （28.07kb，75次下载） 2011-5-1 17:02 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 8 楼 [QUOTE=liuqiangni;953960]中文的也有啊上个图 [/QUOTE] 只一次是什么断点?怎么下的?没用过~ 2011-5-1 17:04 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 9 楼断点不是我下的,是OD自己下的,我点执行到用户断点,然后Breakpoint 里面就会有这个,而且还老跳变 2011-5-1 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复