-
-
[原创]自己动手恢复显示OllyICE数据栏地址偏移
-
发表于: 2017-3-20 20:49
-
一、问题的起源
从看雪首页下载OllyICE1.1,分别加载调试记事本,发现原版OD数据窗口双击会显示地址偏移,而OllyICE双击却无反应。
这个双击显示地址偏移的功能非常实用,这么好的功能为什么OllyICE里面给去掉了呢?我真想不通。难不成为了使用这个功能我得另外下载其它修改版的OD?不行!我不喜欢那种被改得面目全非的OD,害得我强迫症又犯了!我必须要把它分析明白。
二、分析OD显示偏移功能
在OD的汇编窗口、堆栈窗口双击地址,都可以显示$+偏移量,那说明可能都是同一个功能函数调用。怎么分析呢?可以用OllyICE加载原版OD(原版OD加载记事本),这样就开始测试吧:
双击原版OD数据窗口地址,OllyICE中立即断下了,来到这里:
F8向下单步走,在这里我主要关心的是它的消息处理函数在哪里:
向下走一会,不远处就发现一个Tablefunction调用。这名字很是可疑,应该看看:
顺着流程继续走,看来离目标不远了:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
