请问这种情况下,OD能同时下多个断点吗,或者说有没有办法直接找到上一个跳转?
本帖最后由 小菜鸟一枚 于 2020-7-15 19:15 编辑ebp=0012F9A8
本地调用来自 0042A279, 0042F4EA, 0042F504, 0042F797, 0042FA6F, 0042FB18, 0042FB32
假设我通过字符串定位到这里,F9过来,然后去段首,例如上面这个有这么多的跳转,我有两个问题:
1.有没有办法直接定位到上一个调用它的call?
2.有没有办法对这些调用地址直接一次性全部下断? 42A170下断,停下来后,能在堆栈里面看到(右下确窗口)。 一般通过字符串定位过来的函数过程,其中有关键跳,多试试jne jnz等大跳转,单步跟几次就能找到 直接看堆栈窗口就 行了 本帖最后由 netspirit 于 2020-7-15 19:20 编辑
TMTT 发表于 2020-7-15 19:03
42A170下断,停下来后,能在堆栈里面看到(右下确窗口)。
我理解错了......... 我记得ce有这个功能 od我就不知道了啊............... netspirit 发表于 2020-7-15 19:14
你没看明白楼主什么意思 楼主的意思是程序并没有断在这里 是加载完以后搜索字符串搜到了这些地方 然后他 ...
不不不,我就是这个意思,我用messageBOX回到用户代码,然后去段首看跳转地址这么多,然后不知道从哪跳过来的。
我自己没想明白,在段首下断点,在运行起来,函数调用会入栈,栈顶能看到返回地址。
PS:谢谢你们的回答:handshake 原来如此
页:
[1]