因为是自校验,首先考虑在 CreateFileA 上下断。修改后用OD载入,命令行中输 bp CreateFileA,回车,F9运行,断在这里:7C801A24 > 8BFF MOV EDI,EDI ; 断在这7C801A26 55 PUSH EBP7C801A27 8BEC MOV EBP,ESPALT+F9返回,来到这:004643F9 |. 8BF8 MOV EDI,EAX ; 返回到这里004643FB |. 83FF FF CMP EDI,-1004643FE |. 75 34 JNZ SHORT cpuzchs.0046443400464400 |. 8B36 MOV ESI,DWORD PTR DS:[ESI]我们希望看到最初是那里调用的,按几次CTR+F9返回,等第六次的时候(因为再按第七次OD中就暂停不了了)会来到这:004548D2 \. C3 RETN ; 六次后来这004548D3 /$ 8B4C24 04 MOV ECX,DWORD PTR SS:[ESP+4]
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课