OD如何跟踪TimeProc-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
tomken 雪币： 983 活跃值： (967) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 2 楼 http://bbs.pediy.com/showthread.php?p=26218 2012-3-13 00:18 0
zenghuang 雪币： 7 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 56 粉丝 0 关注私信	zenghuang 3 楼我也想学习下。 2012-3-13 20:21 0
guobing 雪币： 10001 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 4 楼直接jmp... 2012-3-21 12:09 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 5 楼 SetTimer第一次个参数那里下断不就行了吗？ 2012-4-22 03:57 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 6 楼 [QUOTE=tomken;1052659]http://bbs.pediy.com/showthread.php?p=26218[/QUOTE] 刚看了，这个帖子已经关闭不能回复，我这里想补充一下自己的看法，不一定对。或许对楼主有用。根据３楼的说法， “但是SetTimer的时候 TIMEPORC 是 0。” TIMEPORC 是 0 是正常，默认回调是0，子定义的回调就是自己的回调地址。 4楼说的两种方法都只是只能拦截收到timer的event消息信息，但不能调试原回调过程如果timer里面的代码过程需要调试跟踪，且时钟间隔很短（比如毫秒级或者几秒）情况下，可以hook下写个killtimer()，否则在timer里下断会死锁。（很有可能，因为这是timer的回调不像我们在主线程下断） 2012-4-22 05:24 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 7 楼 SetTimer第4个参数那个地址下断点 2012-4-23 04:01 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 8 楼 2楼不是解决了吗？为什么还不结贴？ 2012-4-27 02:41 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 9 楼 timer是不会死锁的，windows会把多个timer消息merge成一个，就是为了处理timerproc万一时间过长的情况，断点可以在2个地方下， 1个是窗口消息处理函数里，看看wm_timer消息， 2就是在直接timerproc下断点。 2012-4-27 10:03 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 10 楼找到mfc42.dll 搜索命令cmp dword ptr[ebp+c],360 73D31A22 > 8BFF MOV EDI,EDI ; 下条件断点[esp+8]==0x113 73D31A24 55 PUSH EBP 73D31A25 8BEC MOV EBP,ESP 73D31A27 817D 0C 6003000>CMP DWORD PTR SS:[EBP+C],360 F9 运行。跟进73D31A53 E8 1C000000 CALL mfc42.#1109 73D31FD1 FFD3 CALL EBX ; F7 到达目标 2012-4-27 10:17 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 11 楼好像是这样~ 受教了！谢谢ronging兄指点 2012-4-27 11:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
tomken 雪币： 983 活跃值： (967) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 2 楼 http://bbs.pediy.com/showthread.php?p=26218 2012-3-13 00:18 0
zenghuang 雪币： 7 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 56 粉丝 0 关注私信	zenghuang 3 楼我也想学习下。 2012-3-13 20:21 0
guobing 雪币： 10001 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 4 楼直接jmp... 2012-3-21 12:09 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 5 楼 SetTimer第一次个参数那里下断不就行了吗？ 2012-4-22 03:57 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 6 楼 [QUOTE=tomken;1052659]http://bbs.pediy.com/showthread.php?p=26218[/QUOTE] 刚看了，这个帖子已经关闭不能回复，我这里想补充一下自己的看法，不一定对。或许对楼主有用。根据３楼的说法， “但是SetTimer的时候 TIMEPORC 是 0。” TIMEPORC 是 0 是正常，默认回调是0，子定义的回调就是自己的回调地址。 4楼说的两种方法都只是只能拦截收到timer的event消息信息，但不能调试原回调过程如果timer里面的代码过程需要调试跟踪，且时钟间隔很短（比如毫秒级或者几秒）情况下，可以hook下写个killtimer()，否则在timer里下断会死锁。（很有可能，因为这是timer的回调不像我们在主线程下断） 2012-4-22 05:24 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 7 楼 SetTimer第4个参数那个地址下断点 2012-4-23 04:01 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 8 楼 2楼不是解决了吗？为什么还不结贴？ 2012-4-27 02:41 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 9 楼 timer是不会死锁的，windows会把多个timer消息merge成一个，就是为了处理timerproc万一时间过长的情况，断点可以在2个地方下， 1个是窗口消息处理函数里，看看wm_timer消息， 2就是在直接timerproc下断点。 2012-4-27 10:03 0
我是土匪雪币： 576 活跃值： (1495) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 10 楼找到mfc42.dll 搜索命令cmp dword ptr[ebp+c],360 73D31A22 > 8BFF MOV EDI,EDI ; 下条件断点[esp+8]==0x113 73D31A24 55 PUSH EBP 73D31A25 8BEC MOV EBP,ESP 73D31A27 817D 0C 6003000>CMP DWORD PTR SS:[EBP+C],360 F9 运行。跟进73D31A53 E8 1C000000 CALL mfc42.#1109 73D31FD1 FFD3 CALL EBX ; F7 到达目标 2012-4-27 10:17 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 11 楼好像是这样~ 受教了！谢谢ronging兄指点 2012-4-27 11:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] OD如何跟踪TimeProc 0.00雪花