请问这种情况下，OD能同时下多个断点吗，或者说有没有办法直接找到上一个跳转？

小菜鸟一枚 · 发表于 2020-7-15 18:43

本帖最后由小菜鸟一枚于 2020-7-15 19:15 编辑

[Asm] 纯文本查看 复制代码

ebp=0012F9A8
本地调用来自 0042A279, 0042F4EA, 0042F504, 0042F797, 0042FA6F, 0042FB18, 0042FB32

假设我通过字符串定位到这里，F9过来，然后去段首，例如上面这个有这么多的跳转，我有两个问题：
1.有没有办法直接定位到上一个调用它的call？
2.有没有办法对这些调用地址直接一次性全部下断？

TMTT · 发表于 2020-7-15 19:03

42A170下断，停下来后，能在堆栈里面看到（右下确窗口）。

罗萨 · 发表于 2020-7-15 20:51

一般通过字符串定位过来的函数过程,其中有关键跳,多试试jne jnz等大跳转,单步跟几次就能找到

GJH588 · 发表于 2020-7-15 19:14

直接看堆栈窗口就行了

netspirit · 发表于 2020-7-15 19:14

本帖最后由 netspirit 于 2020-7-15 19:20 编辑

TMTT 发表于 2020-7-15 19:03
42A170下断，停下来后，能在堆栈里面看到（右下确窗口）。

我理解错了.........

netspirit · 发表于 2020-7-15 19:15

我记得ce有这个功能 od我就不知道了啊...............

小菜鸟一枚 · 发表于 2020-7-15 19:19

netspirit 发表于 2020-7-15 19:14
你没看明白楼主什么意思楼主的意思是程序并没有断在这里是加载完以后搜索字符串搜到了这些地方然后他 ...

不不不，我就是这个意思，我用messageBOX回到用户代码，然后去段首看跳转地址这么多，然后不知道从哪跳过来的。

我自己没想明白，在段首下断点，在运行起来，函数调用会入栈，栈顶能看到返回地址。

PS：谢谢你们的回答

怅廖廓 · 发表于 2020-7-26 12:30

原来如此

帐号		自动登录	找回密码
密码			注册[Register]

[已解决] 请问这种情况下，OD能同时下多个断点吗，或者说有没有办法直接找到上一个跳转？