[原创]OllyDBG 入门系列（五）－消息断点及 RUN 跟踪-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]OllyDBG 入门系列（五）－消息断点及 RUN 跟踪

发表于: 2006-2-19 16:02 610364

[原创]OllyDBG 入门系列（五）－消息断点及 RUN 跟踪

CCDebuger

2006-2-19 16:02

610364

查看主题内容

收藏・307

免费・8

支持

最新回复 (574) ◀ 1 2 3 4 5 6 7 8 9 10 ...23 ▶
无梦徽州雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 98 粉丝 0 关注私信	无梦徽州 76 楼最初由菩提发布精彩，等续篇，到后面注册运算方式还是没搞懂,大大可以在ollydbg修改跳转吗，例如将jnz改成jz保存你这种方法是初级,只能上民办大学,我们的坛主和楼主是要把大家培养成加解密方面的北大清华的高才生.知道不? 2006-2-22 18:05 0
落花流水雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	落花流水 77 楼非常感谢楼主的教程,让我们这些菜鸟学习了在平常学习不到的技术 2006-2-22 21:14 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 78 楼虽然用过相关功能，但思路不如文章中描述得透彻。读过一遍，收获不少。好文要支持！ 2006-2-22 22:59 0
wbhing 雪币： 230 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wbhing 79 楼感谢CCDebuger～～～ 2006-2-23 08:55 0
软件医生雪币： 191 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 85 粉丝 0 关注私信	软件医生 80 楼最初由 laoqian 发布如今这年头，能让人佩服的人不多，CCDebuger是一个！一个好人，一个纯粹的人，一个无私的人，建议全部完成后，看雪出一个《看雪精华特辑――od教学！》以表示对他（她）的敬意和感谢！ =================== 就是就是，我觉得该是出ollydbg专辑的时候了支持 2006-2-23 09:23 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 81 楼人如其名, 实在佩服. 2006-2-23 12:17 0
foxbound 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	foxbound 82 楼非常感谢楼主的教程,我们这些菜鸟真正需要这种详细的教程 2006-2-23 14:03 0
xingbing 雪币： 175 活跃值： (2531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 83 楼什么时候再出下一个？ 2006-2-23 14:24 0
windayjian 雪币： 243 活跃值： (190) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 95 粉丝 0 关注私信	windayjian 5 84 楼含金含金 2006-2-24 19:12 0
胡江雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	胡江 85 楼不错!!!!!!!!!!!!!!!!!!!! 2006-2-25 07:52 0
W-94 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	W-94 86 楼看了楼主的教程,让我们这些菜鸟学习了在平常学习不到的技术.非常感谢 2006-2-25 09:50 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 87 楼真是不错，以前用trw，后来有了小宝宝，没时间了，ollydbg感觉很不错，就是没时间研究了，现在看到这样的文章，真的手痒痒了。 2006-2-25 12:22 0
winheike 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	winheike 88 楼感谢CCDebuger 2006-2-25 13:16 0
dhlin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dhlin 89 楼感谢！初学OD，正好派上用场 2006-2-26 13:08 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 90 楼真是好文章,谢谢楼主. 2006-2-26 16:20 0
ldsjlm 雪币： 159 活跃值： (487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	ldsjlm 91 楼没什么好说的，努力学习 2006-2-26 19:25 0
baiauidt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	baiauidt 92 楼刚发现这么个好东西,顶~~~ 2006-2-27 10:03 0
angie 雪币： 200 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 1 关注私信	angie 93 楼大哥,期待你的完善的教程!看完之后受益良多! 希望能增加点:破解常用断点设置的说明! 2006-2-27 12:51 0
天外笑心雪币： 216 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 0 关注私信	天外笑心 94 楼 "关于消息断点的更多内容大家可以参考 jingulong 兄的那篇《几种典型程序Button处理代码的定位》的文章，堪称经典之作" [几种典型程序Button处理代码的定位] 首先 1 od 下运行程序，F12 暂停； 2 View菜单中选击Windows项，在打开的窗口中可以从Title栏看到目标按钮，从而找到它的Handle(xxxxxxxx) ; 对不同平台生成的程序，分别处理：一、VB, Delphi, CBuilder 程序： 3 在CallWindowProcA入口下条件断点: [esp+8]==xxxxxxxx && [esp+0c]==202； 4 F9继续程序，点击目标按钮，程序中断； 5 Alt+F4，在代码段（.text）上下访问断点； 6 F9执行程序，程序中断, 1). VB程序中断在下面代码 PUSH DWORD PTR DS:[EAX+EBX] ; yyyyyyy 上面[EAX+EBX]的值（yyyyyy）就是我们要找的位置。 2). Delphi, CBuilder 的程序程序直接断在我们要找的位置。借moon一句，这姑妄称作CallWindowProcA条件断点加上code段内存断点法吧。二、VC程序又分MFC和Win32两种情况，二者相同之处： 3 在IsDialogMessageW入口下条件断点: [[esp+8]]==xxxxxxxx && [[esp+8]+4]==202 4 F9继续程序，点击目标按钮，程序中断； 5 Alt+F4，在代码段上下访问断点； 6 F9执行程序，程序中断, 注意这里虽然中断在code段，但却不是处理Button点击事件的代码处这时：对Win32程序，只需要按几下F7，当回到User32.dll领空后再重复一次第 5、6步就可以了；而对于MFC程序，我们不得不多次重复这样的操作：单步回到MFC领空，再第 5、6步。好在已经看到大陆啦！类比，这就叫IsDialogMessageW条件断点加上code段内存断点法了。 ____________________________________________________________ 能不能详细分析下谢谢了 2006-2-27 13:16 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 95 楼哇。超级精典。。。。 2006-2-27 13:54 0
aecgf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	aecgf 96 楼看了真有收获。 2006-2-28 00:29 0
yjsdiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	yjsdiy 97 楼什么时候可以看到 OllyDBG 入门系列（六）呢？？？？？ 2006-2-28 10:39 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 98 楼想补充一句,如果在设置运行跟踪时,没有出现"添加所有函数过程的入口"那几个选项的话,请按ctrl+A,然后就可以了. 2006-3-1 01:54 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 99 楼好，支持！！ 2006-3-1 12:22 0
wjk8 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wjk8 100 楼太好了,学习学习. 2006-3-1 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CCDebuger

390

发帖

1843

回帖

990

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (574) ◀ 1 2 3 4 5 6 7 8 9 10 ...23 ▶
无梦徽州雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 98 粉丝 0 关注私信	无梦徽州 76 楼最初由菩提发布精彩，等续篇，到后面注册运算方式还是没搞懂,大大可以在ollydbg修改跳转吗，例如将jnz改成jz保存你这种方法是初级,只能上民办大学,我们的坛主和楼主是要把大家培养成加解密方面的北大清华的高才生.知道不? 2006-2-22 18:05 0
落花流水雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	落花流水 77 楼非常感谢楼主的教程,让我们这些菜鸟学习了在平常学习不到的技术 2006-2-22 21:14 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 78 楼虽然用过相关功能，但思路不如文章中描述得透彻。读过一遍，收获不少。好文要支持！ 2006-2-22 22:59 0
wbhing 雪币： 230 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wbhing 79 楼感谢CCDebuger～～～ 2006-2-23 08:55 0
软件医生雪币： 191 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 85 粉丝 0 关注私信	软件医生 80 楼最初由 laoqian 发布如今这年头，能让人佩服的人不多，CCDebuger是一个！一个好人，一个纯粹的人，一个无私的人，建议全部完成后，看雪出一个《看雪精华特辑――od教学！》以表示对他（她）的敬意和感谢！ =================== 就是就是，我觉得该是出ollydbg专辑的时候了支持 2006-2-23 09:23 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 81 楼人如其名, 实在佩服. 2006-2-23 12:17 0
foxbound 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	foxbound 82 楼非常感谢楼主的教程,我们这些菜鸟真正需要这种详细的教程 2006-2-23 14:03 0
xingbing 雪币： 175 活跃值： (2531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 83 楼什么时候再出下一个？ 2006-2-23 14:24 0
windayjian 雪币： 243 活跃值： (190) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 95 粉丝 0 关注私信	windayjian 5 84 楼含金含金 2006-2-24 19:12 0
胡江雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	胡江 85 楼不错!!!!!!!!!!!!!!!!!!!! 2006-2-25 07:52 0
W-94 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	W-94 86 楼看了楼主的教程,让我们这些菜鸟学习了在平常学习不到的技术.非常感谢 2006-2-25 09:50 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 87 楼真是不错，以前用trw，后来有了小宝宝，没时间了，ollydbg感觉很不错，就是没时间研究了，现在看到这样的文章，真的手痒痒了。 2006-2-25 12:22 0
winheike 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	winheike 88 楼感谢CCDebuger 2006-2-25 13:16 0
dhlin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dhlin 89 楼感谢！初学OD，正好派上用场 2006-2-26 13:08 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 90 楼真是好文章,谢谢楼主. 2006-2-26 16:20 0
ldsjlm 雪币： 159 活跃值： (487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	ldsjlm 91 楼没什么好说的，努力学习 2006-2-26 19:25 0
baiauidt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	baiauidt 92 楼刚发现这么个好东西,顶~~~ 2006-2-27 10:03 0
angie 雪币： 200 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 1 关注私信	angie 93 楼大哥,期待你的完善的教程!看完之后受益良多! 希望能增加点:破解常用断点设置的说明! 2006-2-27 12:51 0
天外笑心雪币： 216 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 0 关注私信	天外笑心 94 楼 "关于消息断点的更多内容大家可以参考 jingulong 兄的那篇《几种典型程序Button处理代码的定位》的文章，堪称经典之作" [几种典型程序Button处理代码的定位] 首先 1 od 下运行程序，F12 暂停； 2 View菜单中选击Windows项，在打开的窗口中可以从Title栏看到目标按钮，从而找到它的Handle(xxxxxxxx) ; 对不同平台生成的程序，分别处理：一、VB, Delphi, CBuilder 程序： 3 在CallWindowProcA入口下条件断点: [esp+8]==xxxxxxxx && [esp+0c]==202； 4 F9继续程序，点击目标按钮，程序中断； 5 Alt+F4，在代码段（.text）上下访问断点； 6 F9执行程序，程序中断, 1). VB程序中断在下面代码 PUSH DWORD PTR DS:[EAX+EBX] ; yyyyyyy 上面[EAX+EBX]的值（yyyyyy）就是我们要找的位置。 2). Delphi, CBuilder 的程序程序直接断在我们要找的位置。借moon一句，这姑妄称作CallWindowProcA条件断点加上code段内存断点法吧。二、VC程序又分MFC和Win32两种情况，二者相同之处： 3 在IsDialogMessageW入口下条件断点: [[esp+8]]==xxxxxxxx && [[esp+8]+4]==202 4 F9继续程序，点击目标按钮，程序中断； 5 Alt+F4，在代码段上下访问断点； 6 F9执行程序，程序中断, 注意这里虽然中断在code段，但却不是处理Button点击事件的代码处这时：对Win32程序，只需要按几下F7，当回到User32.dll领空后再重复一次第 5、6步就可以了；而对于MFC程序，我们不得不多次重复这样的操作：单步回到MFC领空，再第 5、6步。好在已经看到大陆啦！类比，这就叫IsDialogMessageW条件断点加上code段内存断点法了。 ____________________________________________________________ 能不能详细分析下谢谢了 2006-2-27 13:16 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 95 楼哇。超级精典。。。。 2006-2-27 13:54 0
aecgf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	aecgf 96 楼看了真有收获。 2006-2-28 00:29 0
yjsdiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	yjsdiy 97 楼什么时候可以看到 OllyDBG 入门系列（六）呢？？？？？ 2006-2-28 10:39 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 98 楼想补充一句,如果在设置运行跟踪时,没有出现"添加所有函数过程的入口"那几个选项的话,请按ctrl+A,然后就可以了. 2006-3-1 01:54 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 99 楼好，支持！！ 2006-3-1 12:22 0
wjk8 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wjk8 100 楼太好了,学习学习. 2006-3-1 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复