-
-
[旧帖] [求助]请教下关于断点设置的问题? 0.00雪花
-
2008-3-23 18:30 3353
-
各位朋友,在下对于OD的使用和其中设置断点并不熟悉,现正处于摸所阶段,根据一论坛上的某文所讲解的操作方法试操作,但对其中所表述的断点设置不明白,请诸位知道的朋友不怜赐教,文章如下:
1,我先下bp send,返回看到这里,不用说就是send函数了。 《〈〈这部分会下,断下后
0069FFBF |. E8 82A11000 call
,2,给send的BUF区下硬键访问断点,来到这里,看出是这里向Send函数的BUF区放数据的。
〈〈〈这里所说的硬件访问断点是什么意思?应该在哪里能下,SEND的BUF区是指什么位置,是不是指得所传送的数据部分?这部分要怎么下断呢?
0069FB43 |. F3:A5 rep movs dword ptr es:[edi], dword ptr [e>; |
3,给esi下断分析,发现加密函数。
〈〈这里是给ESI下断,寄存器下断是怎么操作的呢?
0069FB64 |. E8 67060000 call 006A01D0 ; \封包加密函数
4,好,我们在这个加密函数下个断。然后点击“出征”,断下来后执行到返回。可以看到调用它的CALL。
0069DD14 . E8 471D0000 call 0069FA60
5,下断,再往回找,看到上一级的调用CALL。
0069DEFC |. E8 BFFDFFFF call 0069DCC0
6,下断,再往回找。
006DBDFB |. FF50 0C call [eax+C]
7,下断,再找。看到红色这个CALL了吗,它就是“出征”的CALL了。
0065CB89 |. 8B4D 08 mov ecx, [ebp+8]
0065CB8C |. 33C0 xor eax, eax
0065CB8E |. 66:8B46 21 mov ax, [esi+21]
0065CB92 |. 6A 32 push 32 ; /Arg3 = 00000032
0065CB94 |. 50 push eax ; |Arg2
0065CB95 |. 51 push ecx ; |Arg1
0065CB96 |. 8D8D E4FBFFFF lea ecx, [ebp-41C] ; |
0065CB9C |. C745 FC 00000>mov dword ptr [ebp-4], 0 ; |
0065CBA3 |. E8 88F10700 call 006DBD30 ; \TheWarlo.006DBD30
8,再放上,是这里
004101CA |. E8 81C82400 call 0065CA50
9,再上就是GuiDll的领空了。
这两个都可以,
本文章转自外挂饭馆http://www.wgum.net
1,我先下bp send,返回看到这里,不用说就是send函数了。 《〈〈这部分会下,断下后
0069FFBF |. E8 82A11000 call
,2,给send的BUF区下硬键访问断点,来到这里,看出是这里向Send函数的BUF区放数据的。
![](/view/img/face/50.gif)
0069FB43 |. F3:A5 rep movs dword ptr es:[edi], dword ptr [e>; |
3,给esi下断分析,发现加密函数。
![](/view/img/face/50.gif)
0069FB64 |. E8 67060000 call 006A01D0 ; \封包加密函数
4,好,我们在这个加密函数下个断。然后点击“出征”,断下来后执行到返回。可以看到调用它的CALL。
0069DD14 . E8 471D0000 call 0069FA60
5,下断,再往回找,看到上一级的调用CALL。
0069DEFC |. E8 BFFDFFFF call 0069DCC0
6,下断,再往回找。
006DBDFB |. FF50 0C call [eax+C]
7,下断,再找。看到红色这个CALL了吗,它就是“出征”的CALL了。
0065CB89 |. 8B4D 08 mov ecx, [ebp+8]
0065CB8C |. 33C0 xor eax, eax
0065CB8E |. 66:8B46 21 mov ax, [esi+21]
0065CB92 |. 6A 32 push 32 ; /Arg3 = 00000032
0065CB94 |. 50 push eax ; |Arg2
0065CB95 |. 51 push ecx ; |Arg1
0065CB96 |. 8D8D E4FBFFFF lea ecx, [ebp-41C] ; |
0065CB9C |. C745 FC 00000>mov dword ptr [ebp-4], 0 ; |
0065CBA3 |. E8 88F10700 call 006DBD30 ; \TheWarlo.006DBD30
8,再放上,是这里
004101CA |. E8 81C82400 call 0065CA50
9,再上就是GuiDll的领空了。
这两个都可以,
本文章转自外挂饭馆http://www.wgum.net
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
赞赏
他的文章
赞赏
雪币:
留言: