OD如何查看断点函数的参数-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	coltor 2 2013-3-5 18:45 2 楼 0 或许apimonitor更好点:http://www.rohitab.com/apimonitor
mozha 雪币： 288 活跃值： (212) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 161 粉丝 5 关注私信	mozha 2 2013-3-5 19:04 3 楼 0 0040107A . 68 00304000 PUSH Menu.00403000 ; /pProcessInfo = Menu.00403000 0040107F . 8D45 BC LEA EAX,DWORD PTR SS:[EBP-44] ; \| 00401082 . 50 PUSH EAX ; \|pStartupInfo 00401083 . 6A 00 PUSH 0 ; \|CurrentDir = NULL 00401085 . 6A 00 PUSH 0 ; \|pEnvironment = NULL 00401087 . 6A 20 PUSH 20 ; \|CreationFlags = NORMAL_PRIORITY_CLASS 00401089 . 6A 00 PUSH 0 ; \|InheritHandles = FALSE 0040108B . 6A 00 PUSH 0 ; \|pThreadSecurity = NULL 0040108D . 6A 00 PUSH 0 ; \|pProcessSecurity = NULL 0040108F . 6A 00 PUSH 0 ; \|CommandLine = NULL 00401091 . 68 10304000 PUSH Menu.00403010 ; \|ModuleFileName = "msgbox.exe" 00401096 . E8 3D020000 CALL <JMP.&kernel32.CreateProcessA> ; \CreateProcessA 先找到这里，F7跟进也可以，再看看有什么值变化了
jecray 雪币： 27 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 62 粉丝 0 关注私信	jecray 2013-3-5 19:46 4 楼 0 跟进了，不知道怎么分析查看。。。
jecray 雪币： 27 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 62 粉丝 0 关注私信	jecray 2013-3-5 19:55 5 楼 0 [QUOTE=coltor;1148216]或许apimonitor更好点:http://www.rohitab.com/apimonitor[/QUOTE] 谢谢您推荐的这个软件，看样子很强大
zfhb 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	zfhb 2013-3-6 11:37 6 楼 0 跟进去看，看看有没有ebp-XX的这种一般就是参数，最后到函数尾巴再看看他有没有ret N ，这个N的值除以4就是参数的个数来。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (5)
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	coltor 2 2013-3-5 18:45 2 楼 0 或许apimonitor更好点:http://www.rohitab.com/apimonitor
mozha 雪币： 288 活跃值： (212) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 161 粉丝 5 关注私信	mozha 2 2013-3-5 19:04 3 楼 0 0040107A . 68 00304000 PUSH Menu.00403000 ; /pProcessInfo = Menu.00403000 0040107F . 8D45 BC LEA EAX,DWORD PTR SS:[EBP-44] ; \| 00401082 . 50 PUSH EAX ; \|pStartupInfo 00401083 . 6A 00 PUSH 0 ; \|CurrentDir = NULL 00401085 . 6A 00 PUSH 0 ; \|pEnvironment = NULL 00401087 . 6A 20 PUSH 20 ; \|CreationFlags = NORMAL_PRIORITY_CLASS 00401089 . 6A 00 PUSH 0 ; \|InheritHandles = FALSE 0040108B . 6A 00 PUSH 0 ; \|pThreadSecurity = NULL 0040108D . 6A 00 PUSH 0 ; \|pProcessSecurity = NULL 0040108F . 6A 00 PUSH 0 ; \|CommandLine = NULL 00401091 . 68 10304000 PUSH Menu.00403010 ; \|ModuleFileName = "msgbox.exe" 00401096 . E8 3D020000 CALL <JMP.&kernel32.CreateProcessA> ; \CreateProcessA 先找到这里，F7跟进也可以，再看看有什么值变化了
jecray 雪币： 27 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 62 粉丝 0 关注私信	jecray 2013-3-5 19:46 4 楼 0 跟进了，不知道怎么分析查看。。。
jecray 雪币： 27 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 62 粉丝 0 关注私信	jecray 2013-3-5 19:55 5 楼 0 [QUOTE=coltor;1148216]或许apimonitor更好点:http://www.rohitab.com/apimonitor[/QUOTE] 谢谢您推荐的这个软件，看样子很强大
zfhb 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	zfhb 2013-3-6 11:37 6 楼 0 跟进去看，看看有没有ebp-XX的这种一般就是参数，最后到函数尾巴再看看他有没有ret N ，这个N的值除以4就是参数的个数来。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复