首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]在ollydb 如何知道断点是从何处跳来 0.00雪花
发表于: 2009-9-19 16:22 3721

[旧帖] [求助]在ollydb 如何知道断点是从何处跳来 0.00雪花

zhijieluo 活跃值
2009-9-19 16:22
3721
大家好,挖是新手,正在调试一个软件,用ollydb.程序到041FF14后就会报错,但不知道041FF14从哪里跳过来,请高手帮忙告诉挖如何知道041FF14从哪个代码跳转过来
0041FEEF  |.  E8 50251200   CALL <JMP.&MFC42u.#858>
0041FEF4  |.  C745 FC FFFFF>MOV DWORD PTR SS:[EBP-4],-1
0041FEFB  |.  8D4D DC       LEA ECX,DWORD PTR SS:[EBP-24]
0041FEFE  |.  E8 61231200   CALL <JMP.&MFC42u.#800>
0041FF03  |.  8B45 C0       MOV EAX,DWORD PTR SS:[EBP-40]
0041FF06  |.  05 AC000000   ADD EAX,0AC
0041FF0B  |.  50            PUSH EAX                                 ; /Arg1
0041FF0C  |.  8B4D EC       MOV ECX,DWORD PTR SS:[EBP-14]            ; |
0041FF0F  |.  E8 EAB60C00   CALL UADM.004EB5FE                       ; \UADM.004EB5FE
0041FF14  |.  8945 F0       MOV DWORD PTR SS:[EBP-10],EAX
0041FF17  |.  817D F0 5CF9F>CMP DWORD PTR SS:[EBP-10],-6A4
0041FF1E  |.  74 1C         JE SHORT UADM.0041FF3C
0041FF20  |.  817D F0 58F9F>CMP DWORD PTR SS:[EBP-10],-6A8
0041FF27  |.  74 13         JE SHORT UADM.0041FF3C
0041FF29  |.  8B4D F0       MOV ECX,DWORD PTR SS:[EBP-10]
0041FF2C  |.  51            PUSH ECX                                 ; /Arg1
0041FF2D  |.  E8 BEF4FFFF   CALL UADM.0041F3F0                       ; \UADM.0041F3F0
0041FF32  |.  83C4 04       ADD ESP,4
0041FF35  |.  32C0          XOR AL,AL
0041FF37  |.  E9 B2000000   JMP UADM.0041FFEE
0041FF3C  |>  8D55 C8       LEA EDX,DWORD PTR SS:[EBP-38]
0041FF3F  |.  52            PUSH EDX                                 ; /Arg2
0041FF40  |.  68 1CCF5600   PUSH UADM.0056CF1C                       ; |Arg1 = 0056CF1C
0041FF45  |.  8D4D CC       LEA ECX,DWORD PTR SS:[EBP-34]            ; |
0041FF48  |.  FF15 58356800 CALL DWORD PTR DS:[<&MSVCP60.??0?$basic_>; \??0?$basic_string@GU?$char_traits@G@std@@V?$allocator@G@2@@std@@QAE@PBGABV?$allocator@G@1@@Z
0041FF4E  |.  C745 FC 01000>MOV DWORD PTR SS:[EBP-4],1
0041FF55  |.  8D45 CC       LEA EAX,DWORD PTR SS:[EBP-34]
0041FF58  |.  50            PUSH EAX                                 ; /Arg1
0041FF59  |.  8B4D C0       MOV ECX,DWORD PTR SS:[EBP-40]            ; |
0041FF5C  |.  81C1 C0000000 ADD ECX,0C0                              ; |
0041FF62  |.  E8 B9430900   CALL UADM.004B4320                       ; \UADM.004B4320
0041FF67  |.  8945 F0       MOV DWORD PTR SS:[EBP-10],EAX

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (6)
无迹天空
雪    币: 110
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
是不是以前的断点没有清除,也可以删除以前的UDD目录里面的调试文件
2009-9-20 09:52
0
riusksk
雪    币: 433
活跃值: (1875)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
私信
3
可借助IDA的交叉参考功能
2009-9-20 10:53
0
kevinch
雪    币: 155
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我一般都是找这段的头下段,然后再测试,当调用进入该段头暂停时,在堆栈区能看到返回到XXXXXXX,来自于XXXXXXX,基本上返回到的地址上面一行就是调用的地方了,不知适不适合你用
2009-9-20 15:50
0
zhijieluo
雪    币: 197
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
以上的我都试过,但还不知道从何处跳过来,谢谢大家的回答
2009-9-20 23:32
0
kwzlj
雪    币: 276
活跃值: (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
在IDA中常看到内似DD后面接子程序的,这种类型的如何知道何出调用呢?
2009-9-21 10:15
0
evilight
雪    币: 235
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
是不是程序抛出异常了。。。不懂,瞎说。
2009-9-21 17:20
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//