[求助]od中，如何确定跳转来自何处？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼在函数入口点断下之后，观察堆栈。。。。到栈顶所在的地址看看。。 2008-2-21 15:24 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 3 楼有个ring3的插件Conditional Branch Logger,我更喜欢ring0的DebugCtlMSR,openrce上有讨论. Hook int1: __declspec(naked) void NewInt01() { // - Interrupt 1 Handler - // // offset \| contains // ---------+----------------------------- // esp : EIP Context // esp + 4 : CS Context // esp + 8 : EFLAGS Context __asm { pushad mov eax, dr6 bt eax, 0Eh //单步? jnc __oldint01 mov ecx, 1D9h rdmsr or eax, 3 wrmsr __oldint01: popad jmp OldHandler01 } } 在OD中trace时记录的只有控制转移指令 2008-2-21 19:28 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 4 楼在函数入口断下．．查看ＥＳＰ为返回地址,这个学汇编.......应该知道的哦~~~ 2008-2-22 01:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼请注意跳转和调用的区别 2008-2-22 01:56 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼楼主问的是：如何精确的确定本次执行的到底是哪个地址调用了这个函数？ 2008-2-22 12:49 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 7 楼完全不懂呵呵关注中 2008-2-22 16:34 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 8 楼 2楼已经说清楚了。。 2008-3-12 19:18 0
joephoenix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	joephoenix 9 楼正常来说堆栈顶写的“返回到。。。。”就是调用这CALL的地址了 2008-3-12 19:46 0
zlmsdn 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	zlmsdn 10 楼不懂的说哦. 2008-3-13 12:42 0
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 11 楼 alt+k!!!!!!!!!!! 2008-3-13 14:40 0
pcwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	pcwolf 12 楼返回后不就是知道是哪个地址调用它的吗？ 2008-3-17 08:41 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 13 楼 alt+k 查看调用堆栈就能找到答案 2008-3-17 12:54 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 14 楼顶膜拜. 2008-3-17 23:59 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 15 楼只能说查看堆栈 2008-3-19 14:40 0
hswqs 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	hswqs 16 楼到RET行不行了 2008-3-19 20:24 0
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 17 楼跳转多了是不是很容易迷路，好像现在要想知道从哪儿来，就只有全代码中serach jmp xxx,或者你直接serach ?? xxx,没有哪个去写一个记录从哪儿来的，只有说明到哪儿去的。 2008-3-19 20:41 0
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 18 楼 RET好像不行吧，RET就是结束某段代码跳回上一层，也不能行。 2008-3-19 20:42 0
amduser 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	amduser 19 楼好像我也遇到了同样的问题不过我都不知道怎么办 2008-3-21 15:58 0
qqlqql 雪币： 271 活跃值： (21) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	qqlqql 1 20 楼调用看调用堆栈就行了跳转要怎么看啊？ 2008-3-23 05:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼在函数入口点断下之后，观察堆栈。。。。到栈顶所在的地址看看。。 2008-2-21 15:24 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 3 楼有个ring3的插件Conditional Branch Logger,我更喜欢ring0的DebugCtlMSR,openrce上有讨论. Hook int1: __declspec(naked) void NewInt01() { // - Interrupt 1 Handler - // // offset \| contains // ---------+----------------------------- // esp : EIP Context // esp + 4 : CS Context // esp + 8 : EFLAGS Context __asm { pushad mov eax, dr6 bt eax, 0Eh //单步? jnc __oldint01 mov ecx, 1D9h rdmsr or eax, 3 wrmsr __oldint01: popad jmp OldHandler01 } } 在OD中trace时记录的只有控制转移指令 2008-2-21 19:28 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 4 楼在函数入口断下．．查看ＥＳＰ为返回地址,这个学汇编.......应该知道的哦~~~ 2008-2-22 01:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼请注意跳转和调用的区别 2008-2-22 01:56 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼楼主问的是：如何精确的确定本次执行的到底是哪个地址调用了这个函数？ 2008-2-22 12:49 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 7 楼完全不懂呵呵关注中 2008-2-22 16:34 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 8 楼 2楼已经说清楚了。。 2008-3-12 19:18 0
joephoenix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	joephoenix 9 楼正常来说堆栈顶写的“返回到。。。。”就是调用这CALL的地址了 2008-3-12 19:46 0
zlmsdn 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	zlmsdn 10 楼不懂的说哦. 2008-3-13 12:42 0
NCFZ 雪币： 280 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	NCFZ 11 楼 alt+k!!!!!!!!!!! 2008-3-13 14:40 0
pcwolf 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	pcwolf 12 楼返回后不就是知道是哪个地址调用它的吗？ 2008-3-17 08:41 0
方向感雪币： 1436 活跃值： (3861) 能力值： ( LV3，RANK：30 ) 在线值：发帖 41 回帖 710 粉丝 22 关注私信	方向感 13 楼 alt+k 查看调用堆栈就能找到答案 2008-3-17 12:54 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 14 楼顶膜拜. 2008-3-17 23:59 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 15 楼只能说查看堆栈 2008-3-19 14:40 0
hswqs 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	hswqs 16 楼到RET行不行了 2008-3-19 20:24 0
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 17 楼跳转多了是不是很容易迷路，好像现在要想知道从哪儿来，就只有全代码中serach jmp xxx,或者你直接serach ?? xxx,没有哪个去写一个记录从哪儿来的，只有说明到哪儿去的。 2008-3-19 20:41 0
pfzhao 雪币： 223 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 83 粉丝 0 关注私信	pfzhao 2 18 楼 RET好像不行吧，RET就是结束某段代码跳回上一层，也不能行。 2008-3-19 20:42 0
amduser 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	amduser 19 楼好像我也遇到了同样的问题不过我都不知道怎么办 2008-3-21 15:58 0
qqlqql 雪币： 271 活跃值： (21) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	qqlqql 1 20 楼调用看调用堆栈就行了跳转要怎么看啊？ 2008-3-23 05:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复