希望有懂的人路过,指导一下~

难道xy不能直接用od启动么0.0，一定要附加?

当在OD里面，调试器暂停在程序入口的时候，此时DLL加载没有？如果没有，我觉得可以对LoadLibrary下个断点试试。

od启动？那bbc.dll怎么加载进来分析?

怎么让od停在入口地址, 流程是: abc.exe 创建进程xy.exe挂起,注入bbc.dll后恢复xy.exe 运行
我的主要目的是 分析bbc.dll

好像上面两位大牛没明白我的意思,   我在这里再简洁讲诉一下,    目的:动态分析注入xy.exe的bbc.dll      破解软件abc.exe作用:   是创建进程xy.exe挂起,注入bbc.dll后恢复xy.exe 运行     我遇到的调试难点:是由于xy.exe界面UI没生成就运行dll里的函数了,等UI界面生成再附加的话,运行的功能已经完成,dll运行完了,时机已过

直接从DllMain分析就行了，想调试，修改DllMain入口第一个字节为int 3，程序运行挂掉点调试，之前再修改回去。

.text:5F431B20 hinstDLL        = dword ptr  4
.text:5F431B20 fdwReason       = dword ptr  8
.text:5F431B20 lpvReserved     = dword ptr  0Ch
.text:5F431B20
.text:5F431B20                 mov     eax, [esp+fdwReason]
.text:5F431B24                 sub     eax, 1
.text:5F431B27                 jnz     short loc_5F431B32
.text:5F431B29                 mov     eax, [esp+hinstDLL]
.text:5F431B2D                 mov     dword_5F436098, eax
.text:5F431B32
.text:5F431B32 loc_5F431B32:                           ; CODE XREF: DllMain(x,x,x)+7j
.text:5F431B32                 mov     eax, 1
.text:5F431B37                 retn    0Ch
.text:5F431B37 _DllMain@12     endp

改  5F431B20       mov     eax, [esp+fdwReason] 为int 3？

远程线程注入dll的话可以在od里设置新线程中断，也可以对LoadLibrary下断

bp LoadLibraryA(W),对于动态加载的DLL，这个方法不知道是不是最好的。

额，楼主是说，abc.exe以CreateProcess的方式启动进程xy.exe，但是xy.exe还没有界面，然后dll就被调用了。意思是需要在xy.exe中下断点。。嗯，应该是这样。我之前在分析一个游戏读取地图资源的时候也遇到过这样的问题。解决办法是先对创建进程的API下断点，此时子进程已经起来了，再开启一个调试，再来附加这个子进程，然后对对应的API下断点即可（CreateProcess返回之前，其实子进程的环境已经准备好了，所以这个时候，可以附加了）个人愚见，希望对楼主有用。

我刚开始是像你这么做的，createprocess下断，od附加子进程提示 附加失败的 试了很多次都这样，不过，你很能理解我的意思

很高深的话题

在abc创建xy后，在注入dll前下个断点。走到断点时，用另一个od附加xy进程试试看。

感觉是跟11平台启动魔兽方式差不多。。启动、挂起、挂钩、注入、恢复。。。。

我觉得我帮不了你，但是很支持你这种精神

楼主解决了吗 同求调试方法