[求助]我用ProcMon检测到此程序有读写注册表的动作，但在Onlydbg中如何查看和注册表相关的动作呢？-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
拍拖雪币： 1790 活跃值： (3785) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 2 楼非常简单。在ProcMon中你关心的那条操作记录上右键属性。里面会有个调用堆栈页面，详细描述了从软件调用WIN32 API到内核函数到IO驱动访问文件的调用堆栈过程，直接找到你感兴趣的调用堆栈帧，例如软件的那条，查看该帧中函数的代码调用内存地址，然后在OLLYDBG中附加对应的软件，直接反汇编跳转到对应的内存地址下断点即可。 2023-8-7 12:28 2
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 3 楼多谢 @拍拖 2023-8-7 16:14 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 4 楼 mark 最后于 2023-8-7 18:16 被Black貓①呺编辑，原因： 2023-8-7 18:14 0
ninebell 雪币： 35795 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 5 楼拍拖非常简单。在ProcMon中你关心的那条操作记录上右键属性。里面会有个调用堆栈页面，详细描述了从软件调用WIN32 API到内核函数到IO驱动访问文件的调用堆栈过程，直接找到你感兴趣的调用堆栈帧 ... 多谢提醒，又进一阶，以往只是用很少查更进一级。 2023-8-8 18:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
拍拖雪币： 1790 活跃值： (3785) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 2 楼非常简单。在ProcMon中你关心的那条操作记录上右键属性。里面会有个调用堆栈页面，详细描述了从软件调用WIN32 API到内核函数到IO驱动访问文件的调用堆栈过程，直接找到你感兴趣的调用堆栈帧，例如软件的那条，查看该帧中函数的代码调用内存地址，然后在OLLYDBG中附加对应的软件，直接反汇编跳转到对应的内存地址下断点即可。 2023-8-7 12:28 2
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 3 楼多谢 @拍拖 2023-8-7 16:14 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 4 楼 mark 最后于 2023-8-7 18:16 被Black貓①呺编辑，原因： 2023-8-7 18:14 0
ninebell 雪币： 35795 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 5 楼拍拖非常简单。在ProcMon中你关心的那条操作记录上右键属性。里面会有个调用堆栈页面，详细描述了从软件调用WIN32 API到内核函数到IO驱动访问文件的调用堆栈过程，直接找到你感兴趣的调用堆栈帧 ... 多谢提醒，又进一阶，以往只是用很少查更进一级。 2023-8-8 18:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助]我用ProcMon检测到此程序有读写注册表的动作，但在Onlydbg中如何查看和注册表相关的动作呢？