关于OD显示单字节的问题终于找到答案了
近期考古学习XIMO 老师早期发的脱壳基础视频,发现一个问题,比如第3课手脱NSPack北斗壳时,按照ESP跟踪找到OEP后,我的反汇编窗口是这样的{:1_908:}:百思不得其解,到处搜索也寻不到原因,终于在不懈努力下,翻到了某位高手的解答,大概原因是,由于程序加壳的原因,载入OD以后,被OD识别为了数据,但是当我们单步运行到此处时,相当于已经进入了真正的入口点,而此时OD并没有刷新,仍然认为是数据,所以显示为单字节。大佬给出的解决办法是CTRL+A分析一遍,我试了一下,然并卵。完事以后是这个样子:
我再次猜想,是不是OD分析过了就是这个样子,那我就删除它的分析吧,反汇编窗口右键->分析->从模块中删除分析,没想到果然奏效。结果是这样:
但是,我还想说明下,我用CTRL+A在其他程序上也成功将数据显示为指令的,所以其中的原因并不懂。
还望有大佬答疑。 原因是载入时候分析,那个地方代码还没有解码,你可以载入的时候到这里看看是什么数据,当运行到这里时候解码了,正常需要让OD重新分析一下,最好的方式是开始时候不要分析,需要的时候再进行分析,论坛的OD默认开启了分析所以会出现这样的问题。 Hmily 发表于 2023-10-26 14:25
原因是载入时候分析,那个地方代码还没有解码,你可以载入的时候到这里看看是什么数据,当运行到这里时候解 ...
原来如此!!感谢H大细致解答{:1_927:}
页:
[1]