-
-
[讨论]OD分析有干扰信息的代码怎样显示正确的代码
-
发表于:
2013-11-24 20:05
4194
-
[讨论]OD分析有干扰信息的代码怎样显示正确的代码
本人最近调试一个加了壳的程序,地址830000处有4KB大小的代码数据,据说OD在分析这个页面模块的时候,会从830000这个起始地址处开始分析:
/*830000*/ or edx, dword ptr [edi+4FFE8B9]
/*830006*/ and al, 68
/*830008*/ add byte ptr [eax], al
/*83000A*/ add byte ptr [eax], -3D
/*83000D*/ add byte ptr [eax], al
/*83000F*/ add byte ptr [eax], al
/*830011*/ add byte ptr [eax], al
/*830013*/ add byte ptr [eax], al
/*830015*/ add byte ptr [eax], al
/*830017*/ add byte ptr [eax], al
/*830019*/ add byte ptr [eax], al
/*83001B*/ add byte ptr [eax], al
/*83001D*/ add byte ptr [eax], al
/*83001F*/ add byte ptr [eax], al
/*830021*/ add byte ptr [eax], al
/*830023*/ add byte ptr [eax], al
图一
实际上,从地址830004开始的指令才是正确的,在命令栏里输入at 830004命令:
/*830004*/ inc dword ptr [esp]
/*830007*/ push 820000
/*83000C*/ retn
/*83000D*/ add byte ptr [eax], al
/*83000F*/ add byte ptr [eax], al
/*830011*/ add byte ptr [eax], al
/*830013*/ add byte ptr [eax], al
/*830015*/ add byte ptr [eax], al
/*830017*/ add byte ptr [eax], al
图二
我把焦点定位到代码窗口上,但当我一旦滚动代码窗口的滚动条,代码窗口里的代码便又自动恢复到图一显示的那样。
请问有什么办法或插件可以解决上述问题吗?谢谢!!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!