[原创]OllyDBG 入门系列（四）－内存断点-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]OllyDBG 入门系列（四）－内存断点

发表于: 2006-2-15 23:22 468786

[原创]OllyDBG 入门系列（四）－内存断点

CCDebuger

2006-2-15 23:22

468786

查看主题内容

收藏・214

免费・12

支持

最新回复 (490) ◀ 1 ... 10 11 12 13 14 15 16 17 18 19 20 ▶
beibeimail 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	beibeimail 451 楼还是没搞清楚，那个“3”哪儿去了， 2013-2-4 13:47 0
hzh学院雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hzh学院 452 楼 c++搞定 #include <iostream> #include <cstdlib> #include <windows.h> using namespace std; int main() { unsigned int a=GetDriveTypeA(NULL); char* b=new char[12]; GetVolumeInformationA(NULL,b,12,NULL,NULL,NULL,NULL,NULL); int c=reinterpret_cast<int>(b); c=(c)/2 * a * (a+1); c^=0x797A7553; cout << hex << uppercase << c << endl; cout << dec << *c << endl; system("pause"); return 0; } 上传的附件： crackhead.zip （3.89kb，4次下载） 2013-2-15 17:58 0
hzh学院雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hzh学院 453 楼乘的是eax,结果放在eax里,不够的话高位放在edx中。 2013-2-15 18:03 0
马特达蒙雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	马特达蒙 454 楼经典教程，功德无量！感谢CCDebuger 2013-2-20 17:05 0
七杨雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	七杨 455 楼写的很仔细，不错 2013-4-10 14:35 0
hnpjhww 雪币： 4 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	hnpjhww 456 楼入门精典啊，来迟了 2013-6-30 17:21 0
平地雪莲雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	平地雪莲 457 楼入门经典，篇篇精华，学习必备，下载收藏了，谢谢坛主。 2013-7-16 17:44 0
zhouqilin 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	zhouqilin 458 楼楼主辛苦了，学习了，精华啊! 2013-7-17 14:46 0
yephone 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	yephone 459 楼正在跟着楼主的脚步一步一步走过来 2013-10-7 14:07 0
王长飞雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	王长飞 460 楼悲剧啊 OD ALT+F9不像楼主说的那样,貌似并没有返回到程序领空啊 2013-11-1 16:41 0
熔岩雪币： 41 活跃值： (159) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	熔岩 461 楼 [QUOTE=幻想术士;251501]ccDebuger 是不是改过了程序了我是最近下的那个题目 00401310 \|. 8B35 9C334000 MOV ESI,DWORD PTR DS:[40339C] 而这句的时候 DS:[40339c]=00000000 为什么把ESI的值直接附在了这里? 004014...[/QUOTE] 我也这么认为 00401310 \|. 8B35 9C334000 mov esi, dword ptr [0x40339C] 00401316 \|. 6A 28 push 0x28 00401318 \|. 68 C4334000 push 004033C4 0040131D \|. FF35 90314000 push dword ptr [0x403190] 00401323 \|. E8 4C010000 call <jmp.&USER32.GetWindowTextA> 00401328 \|. E8 A5000000 call 004013D2 0040132D \|. 3BC6 cmp eax, esi cmp之前还有一个call，在这个call里，寄存器esi的值在此处有变化。 00401405 \|. 81F6 53757A79 XOR ESI,797A7553 2013-12-9 17:23 0
pengbinhnu 雪币： 3 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 34 粉丝 0 关注私信	pengbinhnu 462 楼支持这个系列的第四了加油！ 2013-12-13 09:38 0
嗦迪斯咧雪币： 350 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 53 粉丝 0 关注私信	嗦迪斯咧 1 463 楼至今也是受益匪浅啊！ 2013-12-19 10:00 0
李恒liheng 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	李恒liheng 464 楼确实是好东西, 楼主辛苦,学习之... 2013-12-19 21:34 0
旺旺ok 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	旺旺ok 465 楼开始学习逆向！！ 2013-12-21 16:47 0
xanadulord 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xanadulord 466 楼那么好的系列贴原来已经是6年前的事情啦？相见恨晚啊 2013-12-24 04:43 0
cndlan 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cndlan 467 楼谢谢谢谢你新手学习了 2013-12-26 18:50 0
MS翼静雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	MS翼静 468 楼非常谢谢!!!!!!!!!!!!!!!!!! 2013-12-26 21:01 0
sunml 雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 49 粉丝 0 关注私信	sunml 469 楼写的很好，适合我们这种新手入门 2014-5-27 00:10 0
jimbowhy 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	jimbowhy 470 楼构思 OllyDbg 2.0 插件的开发，还有 CmdBar 插件的焦点问题的修正和升级。 2014-5-28 00:38 0
KingKobra 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 28 粉丝 0 关注私信	KingKobra 471 楼菜鸟表示临时还看不懂，有没有简单点的入门教程？ 2014-5-28 04:39 0
孤单的背影雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	孤单的背影 472 楼感谢，新手学习 2014-6-11 21:35 0
LRana 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	LRana 473 楼太好的入门资料。非常谢谢 2014-7-11 14:18 0
几罗星人雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	几罗星人 474 楼 win7 64bit上跟着做。数据窗口转到40339C，第二幅图没有显示假码。跟着继续做，内存断点断下之后，看一下数据窗口，还是全0，第一个不是03。删掉内存断点后按Alt+F9，程序居然是单步，按一下Alt+F9就走一条汇编指令。这是什么情况？望高人解答 2015-4-13 22:50 0
几罗星人雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	几罗星人 475 楼自己解决了。首先数据窗口转到40339C，第二幅图没有显示假码的问题，主要是CCDebuger大大说的时候有那么一点点点省略，所以误解了。看图第三章断下的地方是GetWindowTextA函数，在第四章，CCDebuger大大是这样写的“F9运行来到上面代码所在的地方（你上次设的断点应该没删吧？）”，实际上应该是“按F9之后再按一下F8让GetWindowTextA函数调用完成”。这样才能在数据窗口看到假码。原因也就很容易解释了，GetWindowTextA函数调用完成程序才能拿到我们在文本框输入的假码。第二个问题是按一下Alt+F9就走一条汇编指令，这是因为Ollydbg对64位系统不兼容。下载Stealth64插件。dll放到Ollydbg的plusin目录里，重启Ollydbg之后打开Stealth64设置，如下图打开设置见到如下的设置窗口勾选x64 compatibility mode（x64兼容模式）然后再重启，Alt+F9就能正常返回用户代码领空，而不是变成单步执行。生生不息，学习不止，遇难而进，遇题而解，今留所学，以怡后人上传的附件： 6a63f6246b600c332fdf76141e4c510fd8f9a14c.png （58.72kb，30次下载） b21bb051f8198618500978584eed2e738ad4e6a4.png （34.13kb，30次下载） 5366d0160924ab18a0c070eb31fae6cd7a890b13.png （26.32kb，32次下载） 2015-4-14 19:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CCDebuger

390

发帖

1843

回帖

990

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (490) ◀ 1 ... 10 11 12 13 14 15 16 17 18 19 20 ▶
beibeimail 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	beibeimail 451 楼还是没搞清楚，那个“3”哪儿去了， 2013-2-4 13:47 0
hzh学院雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hzh学院 452 楼 c++搞定 #include <iostream> #include <cstdlib> #include <windows.h> using namespace std; int main() { unsigned int a=GetDriveTypeA(NULL); char* b=new char[12]; GetVolumeInformationA(NULL,b,12,NULL,NULL,NULL,NULL,NULL); int c=reinterpret_cast<int>(b); c=(c)/2 * a * (a+1); c^=0x797A7553; cout << hex << uppercase << c << endl; cout << dec << *c << endl; system("pause"); return 0; } 上传的附件： crackhead.zip （3.89kb，4次下载） 2013-2-15 17:58 0
hzh学院雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hzh学院 453 楼乘的是eax,结果放在eax里,不够的话高位放在edx中。 2013-2-15 18:03 0
马特达蒙雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	马特达蒙 454 楼经典教程，功德无量！感谢CCDebuger 2013-2-20 17:05 0
七杨雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	七杨 455 楼写的很仔细，不错 2013-4-10 14:35 0
hnpjhww 雪币： 4 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	hnpjhww 456 楼入门精典啊，来迟了 2013-6-30 17:21 0
平地雪莲雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	平地雪莲 457 楼入门经典，篇篇精华，学习必备，下载收藏了，谢谢坛主。 2013-7-16 17:44 0
zhouqilin 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	zhouqilin 458 楼楼主辛苦了，学习了，精华啊! 2013-7-17 14:46 0
yephone 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	yephone 459 楼正在跟着楼主的脚步一步一步走过来 2013-10-7 14:07 0
王长飞雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	王长飞 460 楼悲剧啊 OD ALT+F9不像楼主说的那样,貌似并没有返回到程序领空啊 2013-11-1 16:41 0
熔岩雪币： 41 活跃值： (159) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	熔岩 461 楼 [QUOTE=幻想术士;251501]ccDebuger 是不是改过了程序了我是最近下的那个题目 00401310 \|. 8B35 9C334000 MOV ESI,DWORD PTR DS:[40339C] 而这句的时候 DS:[40339c]=00000000 为什么把ESI的值直接附在了这里? 004014...[/QUOTE] 我也这么认为 00401310 \|. 8B35 9C334000 mov esi, dword ptr [0x40339C] 00401316 \|. 6A 28 push 0x28 00401318 \|. 68 C4334000 push 004033C4 0040131D \|. FF35 90314000 push dword ptr [0x403190] 00401323 \|. E8 4C010000 call <jmp.&USER32.GetWindowTextA> 00401328 \|. E8 A5000000 call 004013D2 0040132D \|. 3BC6 cmp eax, esi cmp之前还有一个call，在这个call里，寄存器esi的值在此处有变化。 00401405 \|. 81F6 53757A79 XOR ESI,797A7553 2013-12-9 17:23 0
pengbinhnu 雪币： 3 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 34 粉丝 0 关注私信	pengbinhnu 462 楼支持这个系列的第四了加油！ 2013-12-13 09:38 0
嗦迪斯咧雪币： 350 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 53 粉丝 0 关注私信	嗦迪斯咧 1 463 楼至今也是受益匪浅啊！ 2013-12-19 10:00 0
李恒liheng 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	李恒liheng 464 楼确实是好东西, 楼主辛苦,学习之... 2013-12-19 21:34 0
旺旺ok 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	旺旺ok 465 楼开始学习逆向！！ 2013-12-21 16:47 0
xanadulord 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xanadulord 466 楼那么好的系列贴原来已经是6年前的事情啦？相见恨晚啊 2013-12-24 04:43 0
cndlan 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cndlan 467 楼谢谢谢谢你新手学习了 2013-12-26 18:50 0
MS翼静雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	MS翼静 468 楼非常谢谢!!!!!!!!!!!!!!!!!! 2013-12-26 21:01 0
sunml 雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 49 粉丝 0 关注私信	sunml 469 楼写的很好，适合我们这种新手入门 2014-5-27 00:10 0
jimbowhy 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	jimbowhy 470 楼构思 OllyDbg 2.0 插件的开发，还有 CmdBar 插件的焦点问题的修正和升级。 2014-5-28 00:38 0
KingKobra 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 28 粉丝 0 关注私信	KingKobra 471 楼菜鸟表示临时还看不懂，有没有简单点的入门教程？ 2014-5-28 04:39 0
孤单的背影雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	孤单的背影 472 楼感谢，新手学习 2014-6-11 21:35 0
LRana 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	LRana 473 楼太好的入门资料。非常谢谢 2014-7-11 14:18 0
几罗星人雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	几罗星人 474 楼 win7 64bit上跟着做。数据窗口转到40339C，第二幅图没有显示假码。跟着继续做，内存断点断下之后，看一下数据窗口，还是全0，第一个不是03。删掉内存断点后按Alt+F9，程序居然是单步，按一下Alt+F9就走一条汇编指令。这是什么情况？望高人解答 2015-4-13 22:50 0
几罗星人雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	几罗星人 475 楼自己解决了。首先数据窗口转到40339C，第二幅图没有显示假码的问题，主要是CCDebuger大大说的时候有那么一点点点省略，所以误解了。看图第三章断下的地方是GetWindowTextA函数，在第四章，CCDebuger大大是这样写的“F9运行来到上面代码所在的地方（你上次设的断点应该没删吧？）”，实际上应该是“按F9之后再按一下F8让GetWindowTextA函数调用完成”。这样才能在数据窗口看到假码。原因也就很容易解释了，GetWindowTextA函数调用完成程序才能拿到我们在文本框输入的假码。第二个问题是按一下Alt+F9就走一条汇编指令，这是因为Ollydbg对64位系统不兼容。下载Stealth64插件。dll放到Ollydbg的plusin目录里，重启Ollydbg之后打开Stealth64设置，如下图打开设置见到如下的设置窗口勾选x64 compatibility mode（x64兼容模式）然后再重启，Alt+F9就能正常返回用户代码领空，而不是变成单步执行。生生不息，学习不止，遇难而进，遇题而解，今留所学，以怡后人上传的附件： 6a63f6246b600c332fdf76141e4c510fd8f9a14c.png （58.72kb，30次下载） b21bb051f8198618500978584eed2e738ad4e6a4.png （34.13kb，30次下载） 5366d0160924ab18a0c070eb31fae6cd7a890b13.png （26.32kb，32次下载） 2015-4-14 19:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复