请教OD中：ecx指向"abcdefghigklmn"这个字符串的条件断点如何下？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

请教OD中：ecx指向"abcdefghigklmn"这个字符串的条件断点如何下？

发表于: 2006-2-24 10:15 17651

请教OD中：ecx指向"abcdefghigklmn"这个字符串的条件断点如何下？

Spring.W

2006-2-24 10:15

17651

请教OD中：ecx指向"abcdefghigklmn"这个字符串的条件断点如何下？

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・11

免费・7

支持

最新回复 (22)
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 2 楼 ecx=="abcdefghigklmn" 2006-2-24 10:25 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 3 楼 CCDebuger对OD用的很熟 2006-2-24 11:25 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 4 楼最初由 CCDebuger 发布 ecx=="abcdefghigklmn" 我想断：CreateFileA 条件是文件名字为 "abcdefghigklmn"，我在CreateFileA上Shift-F4或Shift-F2设定条件，都不起作用。我用的不对？能否详细解说一下？谢谢！ 2006-2-24 11:35 0
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 5 楼用命令栏下吧 2006-2-24 15:02 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 6 楼最初由 Spring.W 发布我想断：CreateFileA 条件是文件名字为 "abcdefghigklmn"，我在CreateFileA上Shift-F4或Shift-F2设定条件，都不起作用。我用的不对？能否详细解说一下？谢谢！不好意思，这几天太困，睡了一觉。如果是CreateFileA，你可以在命令行中这样下条件断点： bp CreateFileA,[[STRING [esp+4]]]=="abcdefghigklmn" 若按 OllyDBG 中的帮助文档上说的，应该是 bp CreateFileA,[STRING [esp+4]]=="abcdefghigklmn" 或 bp CreateFileA,[[esp+4]]=="abcdefghigklmn" 但我测试过如果按 OD 帮助文档中所说的下条件断点的话，断不下来。原因尚不清楚，等有空再来测试看看。 2006-2-24 15:41 0
koala 雪币： 222 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 178 粉丝 0 关注私信	koala 3 7 楼又学一招 2006-2-24 17:02 0
xingbing 雪币： 175 活跃值： (2616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1138 粉丝 2 关注私信	xingbing 8 楼 CCDebuger 对OD研究的太透了。 2006-2-25 09:46 0
W-94 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	W-94 9 楼 CCDebuger 对OD研究的太透了。 2006-2-25 09:53 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 10 楼昨天主要是赶着去医院看孩子，具体为什么这么设断没说明。今天白天回来睡觉前再来解释一下，对 Spring.W 兄来说应该是没必要，这里主要是想让新手了解一下：首先我们看一下 CreateFileA 在 MSDN 中的解释： HANDLE CreateFile( LPCTSTR lpFileName, // pointer to name of the file DWORD dwDesiredAccess, // access (read-write) mode DWORD dwShareMode, // share mode LPSECURITY_ATTRIBUTES lpSecurityAttributes, // pointer to security attributes DWORD dwCreationDisposition, // how to create DWORD dwFlagsAndAttributes, // file attributes HANDLE hTemplateFile // handle to file with attributes to // copy ); 从上面我们可以看出第一个参数就是文件名指针，也就是说这个参数中存放的就是文件名称的地址。在32位程序中调用这个函数时这个参数的堆栈地址就应该是esp+4（4×8=32），同理，下一个参数就应该是esp+8。其它类推，返回值是esp+0。我们现在要判断文件名，这里的文件名就是esp+4地址所指向的地址中的内容。取地址中的内容在OD中用双方括号来操作，如取esp+4中的内容就该写成这样：[esp+4]。现在我们取的[esp+4]中的内容还是个地址，所以要得到文件名则还要再取这个地址中的内容，就该这样：[[esp+4]]。而那个STRING前缀在OD中的解释是以零作为结尾的ASCII字符串。所以我们下条件断点时这样写： bp CreateFileA,[STRING [esp+4]]=="abcdefghigklmn" 但却发现断不下来，写成这样： bp CreateFileA,[[STRING [esp+4]]]=="abcdefghigklmn" 才能断下来，这里就应该是三层的地址了。为什么这样目前尚不清楚，等我以后有空写第六篇条件断点时我会再详细解释一下。 2006-2-25 11:28 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 11 楼刚刚回来，谢谢CCDebuger的回复！非常好用！ 2006-2-25 20:12 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 12 楼解决了困惑多日的问题。以前按F9按的快崩掉，现在又学了一招快捷方法。谢谢。 2006-2-25 20:51 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 13 楼好用，支持CCDebuger 2006-2-25 21:05 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 14 楼最初由 koala 发布又学一招 2006-2-25 22:30 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 15 楼哦，学习了，CCDebug几乎要成我的偶像了解释问题十分细致，充分照顾新手 2006-2-25 23:27 0
laofy 雪币： 206 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	laofy 16 楼 bp CreateFileA,[[STRING [esp+4]]]=="abcdefghigklmn" 若按 OllyDBG 中的帮助文档上说的，应该是 bp CreateFileA,[STRING [esp+4]]=="abcdefghigklmn" 或 bp CreateFileA,[[esp+4]]=="abcdefghigklmn" 爽啊! 2006-2-26 00:21 0
yakly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	yakly 17 楼谢了. 2006-4-22 10:49 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 18 楼学习~TKS! 2006-4-22 18:17 0
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 19 楼 OD在处理这些中括号的时候好像是有些问题在搞那些指针指来指去的时候我就发现我的条件断点没用后来有一招可以先把你要用的条件表达式写成一个Watch 在那个Watch里可以检测一下对不对不对就再加个[]试试记得有一回我就加了一对[]才搞定方法比较粗俗但还算好用加上用条件断的地方不多也就没再细研究写上来和大家分享 2006-4-23 21:16 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 20 楼虽说这是个老贴，但是我也要强顶 2006-8-31 09:19 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 21 楼不过按照方法做了还是不行,我想拦截程序对d:\test.jpg的调用, 下了这样一个命令bp CreateFileA,[[STRING [eax+4]]]=="d:\test.jpg"但是每次都被断下来,条件根本没起作用,后来又按照说明用了bp CreateFileA,[STRING [eax+4]]=="d:\test.jpg"还有这个bp CreateFileA,[[eax+4]]=="d:\test.jpg"好像条件根本没起作用.而且在命令行里符号"\"变成了钱币符号一样的东东． 2006-8-31 09:55 0
ninebell 雪币： 36332 活跃值： (7170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1127 粉丝 71 关注私信	ninebell 22 楼 softKiller 不过按照方法做了还是不行,我想拦截程序对d:\test.jpg的调用, 下了这样一个命令bp CreateFileA,[[STRING [eax+4]]]=="d:\test.jpg&qu ... 明显少加一个\ 转义 2019-8-22 16:38 0
v0id_ 雪币： 8466 活跃值： (5066) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 23 楼 ninebell 明显少加一个\ 转义时隔十四年的回复 2019-8-24 11:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Spring.W

发帖

166

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 2 楼 ecx=="abcdefghigklmn" 2006-2-24 10:25 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 3 楼 CCDebuger对OD用的很熟 2006-2-24 11:25 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 4 楼最初由 CCDebuger 发布 ecx=="abcdefghigklmn" 我想断：CreateFileA 条件是文件名字为 "abcdefghigklmn"，我在CreateFileA上Shift-F4或Shift-F2设定条件，都不起作用。我用的不对？能否详细解说一下？谢谢！ 2006-2-24 11:35 0
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 5 楼用命令栏下吧 2006-2-24 15:02 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 6 楼最初由 Spring.W 发布我想断：CreateFileA 条件是文件名字为 "abcdefghigklmn"，我在CreateFileA上Shift-F4或Shift-F2设定条件，都不起作用。我用的不对？能否详细解说一下？谢谢！不好意思，这几天太困，睡了一觉。如果是CreateFileA，你可以在命令行中这样下条件断点： bp CreateFileA,[[STRING [esp+4]]]=="abcdefghigklmn" 若按 OllyDBG 中的帮助文档上说的，应该是 bp CreateFileA,[STRING [esp+4]]=="abcdefghigklmn" 或 bp CreateFileA,[[esp+4]]=="abcdefghigklmn" 但我测试过如果按 OD 帮助文档中所说的下条件断点的话，断不下来。原因尚不清楚，等有空再来测试看看。 2006-2-24 15:41 0
koala 雪币： 222 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 178 粉丝 0 关注私信	koala 3 7 楼又学一招 2006-2-24 17:02 0
xingbing 雪币： 175 活跃值： (2616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1138 粉丝 2 关注私信	xingbing 8 楼 CCDebuger 对OD研究的太透了。 2006-2-25 09:46 0
W-94 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	W-94 9 楼 CCDebuger 对OD研究的太透了。 2006-2-25 09:53 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 10 楼昨天主要是赶着去医院看孩子，具体为什么这么设断没说明。今天白天回来睡觉前再来解释一下，对 Spring.W 兄来说应该是没必要，这里主要是想让新手了解一下：首先我们看一下 CreateFileA 在 MSDN 中的解释： HANDLE CreateFile( LPCTSTR lpFileName, // pointer to name of the file DWORD dwDesiredAccess, // access (read-write) mode DWORD dwShareMode, // share mode LPSECURITY_ATTRIBUTES lpSecurityAttributes, // pointer to security attributes DWORD dwCreationDisposition, // how to create DWORD dwFlagsAndAttributes, // file attributes HANDLE hTemplateFile // handle to file with attributes to // copy ); 从上面我们可以看出第一个参数就是文件名指针，也就是说这个参数中存放的就是文件名称的地址。在32位程序中调用这个函数时这个参数的堆栈地址就应该是esp+4（4×8=32），同理，下一个参数就应该是esp+8。其它类推，返回值是esp+0。我们现在要判断文件名，这里的文件名就是esp+4地址所指向的地址中的内容。取地址中的内容在OD中用双方括号来操作，如取esp+4中的内容就该写成这样：[esp+4]。现在我们取的[esp+4]中的内容还是个地址，所以要得到文件名则还要再取这个地址中的内容，就该这样：[[esp+4]]。而那个STRING前缀在OD中的解释是以零作为结尾的ASCII字符串。所以我们下条件断点时这样写： bp CreateFileA,[STRING [esp+4]]=="abcdefghigklmn" 但却发现断不下来，写成这样： bp CreateFileA,[[STRING [esp+4]]]=="abcdefghigklmn" 才能断下来，这里就应该是三层的地址了。为什么这样目前尚不清楚，等我以后有空写第六篇条件断点时我会再详细解释一下。 2006-2-25 11:28 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 11 楼刚刚回来，谢谢CCDebuger的回复！非常好用！ 2006-2-25 20:12 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 12 楼解决了困惑多日的问题。以前按F9按的快崩掉，现在又学了一招快捷方法。谢谢。 2006-2-25 20:51 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 13 楼好用，支持CCDebuger 2006-2-25 21:05 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 14 楼最初由 koala 发布又学一招 2006-2-25 22:30 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 15 楼哦，学习了，CCDebug几乎要成我的偶像了解释问题十分细致，充分照顾新手 2006-2-25 23:27 0
laofy 雪币： 206 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	laofy 16 楼 bp CreateFileA,[[STRING [esp+4]]]=="abcdefghigklmn" 若按 OllyDBG 中的帮助文档上说的，应该是 bp CreateFileA,[STRING [esp+4]]=="abcdefghigklmn" 或 bp CreateFileA,[[esp+4]]=="abcdefghigklmn" 爽啊! 2006-2-26 00:21 0
yakly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	yakly 17 楼谢了. 2006-4-22 10:49 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 18 楼学习~TKS! 2006-4-22 18:17 0
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 19 楼 OD在处理这些中括号的时候好像是有些问题在搞那些指针指来指去的时候我就发现我的条件断点没用后来有一招可以先把你要用的条件表达式写成一个Watch 在那个Watch里可以检测一下对不对不对就再加个[]试试记得有一回我就加了一对[]才搞定方法比较粗俗但还算好用加上用条件断的地方不多也就没再细研究写上来和大家分享 2006-4-23 21:16 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 20 楼虽说这是个老贴，但是我也要强顶 2006-8-31 09:19 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 21 楼不过按照方法做了还是不行,我想拦截程序对d:\test.jpg的调用, 下了这样一个命令bp CreateFileA,[[STRING [eax+4]]]=="d:\test.jpg"但是每次都被断下来,条件根本没起作用,后来又按照说明用了bp CreateFileA,[STRING [eax+4]]=="d:\test.jpg"还有这个bp CreateFileA,[[eax+4]]=="d:\test.jpg"好像条件根本没起作用.而且在命令行里符号"\"变成了钱币符号一样的东东． 2006-8-31 09:55 0
ninebell 雪币： 36332 活跃值： (7170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1127 粉丝 71 关注私信	ninebell 22 楼 softKiller 不过按照方法做了还是不行,我想拦截程序对d:\test.jpg的调用, 下了这样一个命令bp CreateFileA,[[STRING [eax+4]]]=="d:\test.jpg&qu ... 明显少加一个\ 转义 2019-8-22 16:38 0
v0id_ 雪币： 8466 活跃值： (5066) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 23 楼 ninebell 明显少加一个\ 转义时隔十四年的回复 2019-8-24 11:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复