关于OD显示单字节的问题终于找到答案了

X土炮

近期考古学习XIMO 老师早期发的脱壳基础视频，发现一个问题，比如第3课手脱NSPack北斗壳时，按照ESP跟踪找到OEP后，我的反汇编窗口是这样的：
百思不得其解，到处搜索也寻不到原因，终于在不懈努力下，翻到了某位高手的解答，大概原因是，由于程序加壳的原因，载入OD以后，被OD识别为了数据，但是当我们单步运行到此处时，相当于已经进入了真正的入口点，而此时OD并没有刷新，仍然认为是数据，所以显示为单字节。大佬给出的解决办法是CTRL+A分析一遍，我试了一下，然并卵。完事以后是这个样子：

我再次猜想，是不是OD分析过了就是这个样子，那我就删除它的分析吧，反汇编窗口右键->分析->从模块中删除分析，没想到果然奏效。结果是这样：


但是，我还想说明下，我用CTRL+A在其他程序上也成功将数据显示为指令的，所以其中的原因并不懂。
还望有大佬答疑。

Hmily

原因是载入时候分析，那个地方代码还没有解码，你可以载入的时候到这里看看是什么数据，当运行到这里时候解码了，正常需要让OD重新分析一下，最好的方式是开始时候不要分析，需要的时候再进行分析，论坛的OD默认开启了分析所以会出现这样的问题。

X土炮

Hmily 发表于 2023-10-26 14:25
原因是载入时候分析，那个地方代码还没有解码，你可以载入的时候到这里看看是什么数据，当运行到这里时候解 ...

原来如此！！感谢H大细致解答