我是刚开始起步学习的新手,在此有一些疑问想请教一下各位老大,请不要觉得问的是足够白痴的问题,您可以用 ...来回答。。。thank...:》
我是先学习w32dasm,然后加trw2000开始入门的,当然是开始对序列号,注册码,NAG等初级问题练手,在使用的过程中学习到了很多实战经验,但是现在的问题是,静态分析一般都升级成为w32dasm或者IDA,动态分析却由trw2000==>OD,(SOFEICE本人直接忽略了,原因很简单,因为他的功能TRW+OD足够能胜任,最关键的是它过于树大招风,因此,我直接转向了OD,相信各位老大当初也和我一样的体会吧)。
由于近期刚接触,w32dasm,trw2000,OD就热键就让我有点点迷糊,我相信,随着使用的次数增多,经验慢慢积累,自动会熟悉各自的特点,在此,我有一些小疑问想请教一下过来的各位老大:(使用全中文汉化OD+DUMP插件)
1.对刚转向到OD的我,最让我头疼的地方在于,我很希望使用search功能,直接寻找某一特征语句:
类似: cmp eax,0000001E ;(在练习30次次数判断中可能需要)
但是我在OD里,按右键,虽然那么多选项,但是却没有一个适合这个功能?
同样的,我如果需要直接查类似特征机器码 EB6A 也是不知道如何操作。
对于地址,可以使用ctrl+g 直接输入。
另外,我习惯在分析过程中写注释,可否一样通过简单的SEARCH到我注明的地方去
还有,一般在分析最开始的时候,进入后,会去search找字串提示,如果有N多的时候,可否使用search比如search "worng" 或者search "cracked" 等?
另外,如果我想复制出来,似乎也一直没有反映,打开新建文本,提示已经复制 到剪切版,但是在文本里按 CTRL+V没有复制成功?
(我想说,这些仅仅是因为我对这个工具刚上手不熟悉才体会到的最大疑惑)
2.对于命令的使用,我在使用TRW2000的时候,S,r,非常方便,在这里,似乎总有说不出的别扭,我肯定知道OD能做到,但是我不清楚怎么操作,类似s,0,ffff '4321'这样的search?
3.对于API函数。似乎在OD不能象trw2000那样。bpx User32.getdlgitemtexta ;我想说的是如果上壳后怎么对API函数下断点?加载程序后,按ALT+N,里面不象脱壳后的那样全部直接显示。。。
4.关于脱壳脚本的格式说明,我是按风飘雪老大的书练习的,对于手动脱壳都是借鉴的winodws自带记事本上壳后分析,通过知道入口分析加密脱壳流程,然后编写脚本,意思大概能理解,就是自己动手不知道如何写.(另外,如果面对侦查不出来的壳,那步骤里的寻找OEP什么时候确定为找到?例题中总是以寻找到固定入口4010CC为终点)
5.对于OD附件(attach)的理解不够,请老大门介绍一些入门资料
.....由于刚起步,需要问的实在太多了,暂时打住。。。请各位老大别见怪,我相信大家很多都是象我这样慢慢过来的。。。允许砸砖头。。。。:》
谢过! 谢过!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
