首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]关于OD的使用问题。
发表于: 2013-6-12 20:24 8872

[求助]关于OD的使用问题。

mymixing 活跃值
2013-6-12 20:24
8872
1,关于OD调试时,我为EXE模块中的函数添加标签或注释时,点击E,跳转到这个EXE模块后
总是查找不到我添加的注释或者标签,这是为什么?
2,当我点击C的时候,总是默认跳转到ntdll模块,这是为什么?能不能设置成默认跳转到EXE模块呢?
3,有的时候碰到OD分析不出来的指令,比如全是00h这种,这种可以算是花指令么?(有的时候不只是00h),一旦碰到这种指令的时候,鼠标单机过去,经常是串行的,就是根本选不中鼠标单机的这一行指令,这是为什么?。
4,有时一段汇编指令好好的,但是鼠标滚轮移动,前一刻的指令就会分析成另外的样子,
比如前一刻的指令是这样的,这时候client相关的行数如我问题3一样,都是没法选中的。
00C30C48   .  AB0CC300      DD client.00C30CAB                       ;  分支表 被用于 00C30BC4
00C30C4C   .  980CC300      DD client.00C30C98
00C30C50   .  900CC300      DD client.00C30C90
00C30C54   .  880CC300      DD client.00C30C88
00C30C58   .  800CC300      DD client.00C30C80
00C30C5C   .  780CC300      DD client.00C30C78
00C30C60   .  700CC300      DD client.00C30C70
00C30C64   .  680CC300      DD client.00C30C68
00C30C68   >  8B448E E4     MOV EAX,DWORD PTR DS:[ESI+ECX*4-0x1C]
00C30C6C   .  89448F E4     MOV DWORD PTR DS:[EDI+ECX*4-0x1C],EAX
下一刻,我用鼠标滚轮向下滑动几行后,指令就标称这样的,这时点击能正常选中代码行了。
00C30C49   ?  0C C3         OR AL,0xC3
00C30C4B   ?  0098 0CC30090 ADD BYTE PTR DS:[EAX+0x9000C30C],BL
00C30C51   ?  0C C3         OR AL,0xC3
00C30C53   ?  0088 0CC30080 ADD BYTE PTR DS:[EAX+0x8000C30C],CL
00C30C59   ?  0C C3         OR AL,0xC3
00C30C5B   ?  0078 0C       ADD BYTE PTR DS:[EAX+0xC],BH
00C30C5E   ?  C3            RETN
00C30C5F   ?  0070 0C       ADD BYTE PTR DS:[EAX+0xC],DH
00C30C62   ?  C3            RETN
00C30C63   ?  0068 0C       ADD BYTE PTR DS:[EAX+0xC],CH
00C30C66   ?  C3            RETN
00C30C67   ?  008B 448EE489 ADD BYTE PTR DS:[EBX+0x89E48E44],CL
00C30C6D   ?  44            INC ESP

请教各位前辈,OD的这些问题到底是怎么回事。
谢谢。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (18)
lhdpedi
雪    币: 107
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
你没有换一个试试吗
2013-6-12 20:53
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
换一个什么啊?
换一个OD?
基本一样的。
2013-6-12 21:19
0
shenger
雪    币: 45
活跃值: (55)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
4
右键菜单 分析代码
2013-6-12 21:54
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
这是说的问题4么?
我试过,一样的,还是会变。
2013-6-12 21:57
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
哪位前辈来给解答下哈。。。感激不尽啊。
2013-6-13 06:57
0
imrain
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
不懂 帮顶
2013-6-13 07:07
0
zhingma
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这是软件检测到了你使用od,就自动给你跳到系统领空,你最好换一个调试器,ida的是绝对不会这样子的。
2013-6-13 08:04
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
关于问题2,感觉不是这样啊,自动跳转的系统领空这个软件,是我自己胡乱写的MFC程序。
当我调试别人的软件的时候不是这样的。
2013-6-13 08:08
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
帮帮忙啊各位大神,这些问题到底怎么回事啊。。。
2013-6-13 09:32
0
shenger
雪    币: 45
活跃值: (55)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
11
回答下最后一个问题,觉得可能是你调试的软件故意这么做的
你在两条指令之间放一个没用的字节数据就有这种效果了
2013-6-13 17:55
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
意思是OD分析花指令,就会出现这种效果么?

求大神科普救命啊。。。。
2013-6-13 18:15
0
shenger
雪    币: 45
活跃值: (55)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
13
OD不知道自己是不是在解析花指令。。
你的滚动条滚动到一个地址AAA,AAA指向了的地方刚好放了个一个字节的花指令,OD可能会把它和下面的字节组成一个汇编指令显示出来
2013-6-13 20:28
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
你这个意思我明白,就是花指令的意思,
但我那个问题4的意思是,那段代码会随着我的滚动条的移动,那段指令会动态的改变成我帖子中的样子。。
2013-6-13 21:12
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
继续求解中,好心人帮帮忙啊。
2013-6-14 07:42
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
帮帮忙啊,再顶下。
2013-6-14 11:51
0
zhouxixixi
雪    币: 19
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
这个是不算问题的问题,反汇编代码有点小问题。alt+c,别用滑轮滚
2013-6-14 13:18
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
继续求解中,各位大神帮帮忙吧。
2013-6-15 07:19
0
mymixing
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
顶一下,没有大神帮帮忙么。。
2013-6-16 19:04
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//