首页
社区
课程
招聘
[讨论]OD分析有干扰信息的代码怎样显示正确的代码
发表于: 2013-11-24 20:05 4194

[讨论]OD分析有干扰信息的代码怎样显示正确的代码

2013-11-24 20:05
4194
本人最近调试一个加了壳的程序,地址830000处有4KB大小的代码数据,据说OD在分析这个页面模块的时候,会从830000这个起始地址处开始分析:
/*830000*/  or      edx, dword ptr [edi+4FFE8B9]
/*830006*/  and     al, 68
/*830008*/  add     byte ptr [eax], al
/*83000A*/  add     byte ptr [eax], -3D
/*83000D*/  add     byte ptr [eax], al
/*83000F*/  add     byte ptr [eax], al
/*830011*/  add     byte ptr [eax], al
/*830013*/  add     byte ptr [eax], al
/*830015*/  add     byte ptr [eax], al
/*830017*/  add     byte ptr [eax], al
/*830019*/  add     byte ptr [eax], al
/*83001B*/  add     byte ptr [eax], al
/*83001D*/  add     byte ptr [eax], al
/*83001F*/  add     byte ptr [eax], al
/*830021*/  add     byte ptr [eax], al
/*830023*/  add     byte ptr [eax], al
    图一

实际上,从地址830004开始的指令才是正确的,在命令栏里输入at 830004命令:
/*830004*/  inc     dword ptr [esp]
/*830007*/  push    820000
/*83000C*/  retn
/*83000D*/  add     byte ptr [eax], al
/*83000F*/  add     byte ptr [eax], al
/*830011*/  add     byte ptr [eax], al
/*830013*/  add     byte ptr [eax], al
/*830015*/  add     byte ptr [eax], al
/*830017*/  add     byte ptr [eax], al
    图二

我把焦点定位到代码窗口上,但当我一旦滚动代码窗口的滚动条,代码窗口里的代码便又自动恢复到图一显示的那样。
请问有什么办法或插件可以解决上述问题吗?谢谢!!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 56
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
830000到830003用90填充试试
2013-11-24 22:45
0
雪    币: 148
活跃值: (278)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
花指令。。。。。
2013-11-25 09:48
0
游客
登录 | 注册 方可回帖
返回
//