在OD调试软件过程中,我们除了掌握好汇编,进行一些常见语句的分析之外,最重要的是对寄存器、内存单元及堆栈的一些变量进行动态监视,这可以帮我们很好的了解在关键CALL处序列号的计算过程,对我们分析算法大有裨益.但我看遍了看雪学院所有关于OD的教程,没有发现一个对此功能有详细解释的教程,可能大侠们都不屑于这种简单的东西吧,但很多初学者又很迷茫,堆栈在反复压入弹出,我们每走一条指定都要反复拉堆栈窗口进行查看,很不方便,现将我在研究OD过程中的一点小经验给所有初用OD的cracker爱好者.
一、如何有效有查看堆栈的值?
       右下角窗口右击,点地址->相对于EBP(当然你也可以相对于ESP,要看你的功能需求),一般我们调试的窗口取得的用户名和密码都放在ebp-4或ebp-8处,所以相对于EBP这样可以快速的找到你要的东西.你可以上下翻到找到调试窗口中的EBP-XX或ebp+XX,如果跑的太远想重回EBP,可以右击，点转到EBP,这样操作相当的方便
二、如果用监视(watches)窗口？
    这也是一个相当有用的功能,你可以在里面输入各种内存单元,堆栈单元和寄存器进行全程动态跟踪。方法是点菜单查看->监视调出监视窗口,然后在里面右击选添加监视,例如你想对eax寄存器进行监视,可以直接输入eax(有朋友说你有毛病吧，eax我在右边窗口可以看到,当然有时如果eax要和其它内存单元比较的话，把他们俩同时添加到一个地方，看着更舒服一点,如果你不介视你眼睛看成散光或脖子扭出毛病，你可以来回转动),其它寄存器也一样按名添加就可以了；你也可以输入[ebp-4]这样的表达式来监视堆栈，也可以输入00129FC0这样的表达式来监视内存区。你还可以右击点watchman然后选set watches，点ebp+x单选钮在下面框里输入4和18对ebp+4到ebp+18监视连续的堆栈区。当然最后一步一定不能忘，右击,界面选项->总在最前,把这个监视窗一定钉到左下角(当然也可以是别的位置，随自己的爱好),这样你在调试程关键CALL时，所有你关心的值可以动态的显示在这个窗口里，一目了然,怎么样，是不是爽多了。当然如果你可以随时改变或删除某个监视表达式，在这个监视窗口里右击选编辑监视和删除监视就可以了。

好了，就写到这儿吧,但愿我的努力能给所有初学破解的朋友带来方便,有关于OD使用教程的补充请看贴的朋友顶贴后期待,我也期待着看雪兄能加精鼓励一下小狐,因为我们的论坛的目的是交流技术,而技术理论的进步,将会成就一大批新人.

                                                   祝所有看雪论坛的朋友08年春节愉快！！！

[课程]Android-CTF解题方法汇总！