我用ProcMon检测到此程序有读写注册表的动作,但在Onlydbg中如何查看和注册表相关的动作呢?
PS:我已经用od清除了后台请求网络的动作。
[培训]科锐软件逆向50期预科班报名即将截止,速来!!! 50期正式班报名火爆招生中!!!
mark
拍拖 非常简单。 在ProcMon中你关心的那条操作记录上右键属性。 里面会有个调用堆栈页面,详细描述了从软件调用WIN32 API到内核函数到IO驱动访问文件的调用堆栈过程,直接找到你感兴趣的调用堆栈帧 ...