[求助]我用ProcMon检测到此程序有读写注册表的动作，但在Onlydbg中如何查看和注册表相关的动作呢？-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
拍拖雪币： 1790 活跃值： (3131) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 258 粉丝 9 关注私信	拍拖 2 2023-8-7 12:28 2 楼 2 非常简单。在ProcMon中你关心的那条操作记录上右键属性。里面会有个调用堆栈页面，详细描述了从软件调用WIN32 API到内核函数到IO驱动访问文件的调用堆栈过程，直接找到你感兴趣的调用堆栈帧，例如软件的那条，查看该帧中函数的代码调用内存地址，然后在OLLYDBG中附加对应的软件，直接反汇编跳转到对应的内存地址下断点即可。
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 2023-8-7 16:14 3 楼 0 多谢 @拍拖
Black貓①呺雪币： 1431 活跃值： (1151) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 64 粉丝 2 关注私信	Black貓①呺 2023-8-7 18:14 4 楼 0 mark 最后于 2023-8-7 18:16 被Black貓①呺编辑，原因：
ninebell 雪币： 33021 活跃值： (7110) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1116 粉丝 66 关注私信	ninebell 2023-8-8 18:01 5 楼 0 拍拖非常简单。在ProcMon中你关心的那条操作记录上右键属性。里面会有个调用堆栈页面，详细描述了从软件调用WIN32 API到内核函数到IO驱动访问文件的调用堆栈过程，直接找到你感兴趣的调用堆栈帧 ... 多谢提醒，又进一阶，以往只是用很少查更进一级。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

未解决 [求助]我用ProcMon检测到此程序有读写注册表的动作，但在Onlydbg中如何查看和注册表相关的动作呢？