-
-
[求助]如何在OD中得到虚函数调用的API
-
发表于: 2007-10-5 11:58
-
标题的意思可能表达不是十分清楚和准确,下面的例子可能比较好明白我所指的意思:
例如用Petite2.3加的一个简单程序的开始部分如下:
0040710F > $ B8 00704000 mov eax, 00407000
00407114 . 6A 00 push 0
00407116 . 68 5D494000 push 0040495D ; SE 处理程序安装
0040711B . 64:FF35 00000>push dword ptr fs:[0]
00407122 . 64:8925 00000>mov dword ptr fs:[0], esp
00407129 > 66:9C pushfw
0040712B . 60 pushad
0040712C . 50 push eax
0040712D . 8BD8 mov ebx, eax
0040712F . 0300 add eax, dword ptr [eax]
00407131 . 68 D41A0000 push 1AD4
00407136 . 6A 00 push 0
00407138 . FF50 1C call dword ptr [eax+1C]
在OD中,当运行到00407138处时,OD会认出
ds:[00408700]=7C80FD2D (kernel32.GlobalAlloc)
但是我用OllyScript脚本1.65版的 gapi命令得不到GlobalAlloc这个词,而GlobalAlloc这个提示怎么才能在插件或者脚本中得到呢,我在插件中用disasm.comment也得不到这个值,请教大家该怎么得到这个提示呢?
我想我的意思是如何用插件或脚本在OD中当运行到00407138处能记录下
call dword ptr [eax+1C]实际指向的(kernel32.GlobalAlloc)
而不是在OD中运行到这句时在OD窗口看到它后记录下它的指向.
不知道我说得是否清楚,有人能帮助一下我吗?谢谢!
例如用Petite2.3加的一个简单程序的开始部分如下:
0040710F > $ B8 00704000 mov eax, 00407000
00407114 . 6A 00 push 0
00407116 . 68 5D494000 push 0040495D ; SE 处理程序安装
0040711B . 64:FF35 00000>push dword ptr fs:[0]
00407122 . 64:8925 00000>mov dword ptr fs:[0], esp
00407129 > 66:9C pushfw
0040712B . 60 pushad
0040712C . 50 push eax
0040712D . 8BD8 mov ebx, eax
0040712F . 0300 add eax, dword ptr [eax]
00407131 . 68 D41A0000 push 1AD4
00407136 . 6A 00 push 0
00407138 . FF50 1C call dword ptr [eax+1C]
在OD中,当运行到00407138处时,OD会认出
ds:[00408700]=7C80FD2D (kernel32.GlobalAlloc)
但是我用OllyScript脚本1.65版的 gapi命令得不到GlobalAlloc这个词,而GlobalAlloc这个提示怎么才能在插件或者脚本中得到呢,我在插件中用disasm.comment也得不到这个值,请教大家该怎么得到这个提示呢?
我想我的意思是如何用插件或脚本在OD中当运行到00407138处能记录下
call dword ptr [eax+1C]实际指向的(kernel32.GlobalAlloc)
而不是在OD中运行到这句时在OD窗口看到它后记录下它的指向.
不知道我说得是否清楚,有人能帮助一下我吗?谢谢!
|
|
|---|---|
|
|
 没人答我,看来要好好学学再来提问了
|
|
|
|
|
|
|
