在使用OD动态调试一些软件的时候,经常会使用下断API的方式进行跟踪。
但是有时候经常会出现不能返回到主程序领空的问题,可能原因就是执行完这个操作后,没有其他操作了,进入系统消息循环。
例如:在调试一个软件,在爆破的情况下,会显示一个非模态的窗口,这个窗口的格式是WS_POP | WS_DISABLED这样的方式。 OD下,下断CreateWindowExA的时候,可以断下,但是无法返回到执行创建窗口的代码中去。 查看堆栈调用,没有发现什么,都是在WIN系统DLL中。
问题1:像上面这样的问题,怎样才能跑到应用程序调用创建窗口的代码中去。
问题2:堆栈调用为什么只有部分,没有想用VC开发环境那样,可以有很多调用历史记录。
谢各位前辈给予帮助与提示。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
