[求助]od中，如何确定跳转来自何处？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1203 粉丝 1 关注私信	petnt 12 2008-2-21 15:24 2 楼 0 在函数入口点断下之后，观察堆栈。。。。到栈顶所在的地址看看。。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2008-2-21 19:28 3 楼 0 有个ring3的插件Conditional Branch Logger,我更喜欢ring0的DebugCtlMSR,openrce上有讨论. Hook int1: __declspec(naked) void NewInt01() { // - Interrupt 1 Handler - // // offset \| contains // ---------+----------------------------- // esp : EIP Context // esp + 4 : CS Context // esp + 8 : EFLAGS Context __asm { pushad mov eax, dr6 bt eax, 0Eh //单步? jnc __oldint01 mov ecx, 1D9h rdmsr or eax, 3 wrmsr __oldint01: popad jmp OldHandler01 } } 在OD中trace时记录的只有控制转移指令
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 65 回帖 319 粉丝 4 关注私信	menting 14 2008-2-22 01:08 4 楼 0 在函数入口断下．．查看ＥＳＰ为返回地址,这个学汇编.......应该知道的哦~~~
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-2-22 01:56 5 楼 0 请注意跳转和调用的区别
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-2-22 12:49 6 楼 0 楼主问的是：如何精确的确定本次执行的到底是哪个地址调用了这个函数？
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 722 粉丝 1 关注私信	夜凉如水 3 2008-2-22 16:34 7 楼 0 完全不懂呵呵关注中
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 2008-3-12 19:18 8 楼 0 2楼已经说清楚了。。
joephoenix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	joephoenix 2008-3-12 19:46 9 楼 0 正常来说堆栈顶写的“返回到。。。。”就是调用这CALL的地址了
zlmsdn 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	zlmsdn 2008-3-13 12:42 10 楼 0 不懂的说哦.
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 2008-3-13 14:40 11 楼 0 alt+k!!!!!!!!!!!
pcwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 9 粉丝 0 关注私信	pcwolf 2008-3-17 08:41 12 楼 0 返回后不就是知道是哪个地址调用它的吗？
方向感雪币： 1412 活跃值： (3221) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 691 粉丝 18 关注私信	方向感 2008-3-17 12:54 13 楼 0 alt+k 查看调用堆栈就能找到答案
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2008-3-17 23:59 14 楼 0 顶膜拜.
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 173 粉丝 0 关注私信	Second 1 2008-3-19 14:40 15 楼 0 只能说查看堆栈
hswqs 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	hswqs 2008-3-19 20:24 16 楼 0 到RET行不行了
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 2008-3-19 20:41 17 楼 0 跳转多了是不是很容易迷路，好像现在要想知道从哪儿来，就只有全代码中serach jmp xxx,或者你直接serach ?? xxx,没有哪个去写一个记录从哪儿来的，只有说明到哪儿去的。
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 2008-3-19 20:42 18 楼 0 RET好像不行吧，RET就是结束某段代码跳回上一层，也不能行。
amduser 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	amduser 2008-3-21 15:58 19 楼 0 好像我也遇到了同样的问题不过我都不知道怎么办
qqlqql 雪币： 271 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 92 粉丝 0 关注私信	qqlqql 1 2008-3-23 05:06 20 楼 0 调用看调用堆栈就行了跳转要怎么看啊？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (19)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1203 粉丝 1 关注私信	petnt 12 2008-2-21 15:24 2 楼 0 在函数入口点断下之后，观察堆栈。。。。到栈顶所在的地址看看。。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2008-2-21 19:28 3 楼 0 有个ring3的插件Conditional Branch Logger,我更喜欢ring0的DebugCtlMSR,openrce上有讨论. Hook int1: __declspec(naked) void NewInt01() { // - Interrupt 1 Handler - // // offset \| contains // ---------+----------------------------- // esp : EIP Context // esp + 4 : CS Context // esp + 8 : EFLAGS Context __asm { pushad mov eax, dr6 bt eax, 0Eh //单步? jnc __oldint01 mov ecx, 1D9h rdmsr or eax, 3 wrmsr __oldint01: popad jmp OldHandler01 } } 在OD中trace时记录的只有控制转移指令
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 65 回帖 319 粉丝 4 关注私信	menting 14 2008-2-22 01:08 4 楼 0 在函数入口断下．．查看ＥＳＰ为返回地址,这个学汇编.......应该知道的哦~~~
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-2-22 01:56 5 楼 0 请注意跳转和调用的区别
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-2-22 12:49 6 楼 0 楼主问的是：如何精确的确定本次执行的到底是哪个地址调用了这个函数？
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 722 粉丝 1 关注私信	夜凉如水 3 2008-2-22 16:34 7 楼 0 完全不懂呵呵关注中
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 2008-3-12 19:18 8 楼 0 2楼已经说清楚了。。
joephoenix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	joephoenix 2008-3-12 19:46 9 楼 0 正常来说堆栈顶写的“返回到。。。。”就是调用这CALL的地址了
zlmsdn 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	zlmsdn 2008-3-13 12:42 10 楼 0 不懂的说哦.
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 2008-3-13 14:40 11 楼 0 alt+k!!!!!!!!!!!
pcwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 9 粉丝 0 关注私信	pcwolf 2008-3-17 08:41 12 楼 0 返回后不就是知道是哪个地址调用它的吗？
方向感雪币： 1412 活跃值： (3221) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 691 粉丝 18 关注私信	方向感 2008-3-17 12:54 13 楼 0 alt+k 查看调用堆栈就能找到答案
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2008-3-17 23:59 14 楼 0 顶膜拜.
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 173 粉丝 0 关注私信	Second 1 2008-3-19 14:40 15 楼 0 只能说查看堆栈
hswqs 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	hswqs 2008-3-19 20:24 16 楼 0 到RET行不行了
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 2008-3-19 20:41 17 楼 0 跳转多了是不是很容易迷路，好像现在要想知道从哪儿来，就只有全代码中serach jmp xxx,或者你直接serach ?? xxx,没有哪个去写一个记录从哪儿来的，只有说明到哪儿去的。
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 2008-3-19 20:42 18 楼 0 RET好像不行吧，RET就是结束某段代码跳回上一层，也不能行。
amduser 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	amduser 2008-3-21 15:58 19 楼 0 好像我也遇到了同样的问题不过我都不知道怎么办
qqlqql 雪币： 271 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 92 粉丝 0 关注私信	qqlqql 1 2008-3-23 05:06 20 楼 0 调用看调用堆栈就行了跳转要怎么看啊？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复