OD堆栈区，锁定堆栈作用是干什么的？

朱朱你堕落了

如图：


这个锁定堆栈的作用是干啥的？锁定？锁定是什么？

求助大佬解惑。

HUHU666

谢谢分享

bester

相当于截图，今天刚玩了一下，锁定了以后 他这块显示的东西就永远是这样了，不会因为push 或者pop 更新堆栈的数据，其实就相当于你在一个风景区拍照，然后在你拍照完，这块风景区进行了修改，你看到的永远是没有修改的照片，里面的内容其实是更新的

mycc

bester 发表于 2019-7-29 19:14
相当于截图，今天刚玩了一下，锁定了以后 他这块显示的东西就永远是这样了，不会因为push 或者pop 更新堆栈 ...

你错了，只是锁定了堆栈锁定时地址的变化( od 的对战表），不是那个区域做了快照 。。。晕死
内容还是继续更新的，但运行的中的栈顶不显示

0018FF8C   7664343D          od 载入某程序 ，这里是现在暂时的栈顶
0018FF90   7EFDE000
0018FF94  /0018FFD4
0018FF98  |76F79802  
0018FF9C  |7EFDE000
0018FFA0  |7725A9A8
0018FFA4  |00000000
0018FFA8  |00000000


随便按 F8 几十步，堆栈是不是没有变化？这个时候你看看  ESP 的位置？

你随时 EIP 上可以修改一段代码    mov dword ptr [0018FF8C],eax     然后单步过了这条指令后
你那个锁定的位置内容是不是变了？？

锁堆栈，主要作用是解密时候观察某些数据变化用的，提取解码 key 也经常用到锁定，配合
数据区域，等于多了一个窗口观察，不用拉来拉去，当然也可以用脚本记录数据变化

bester

mycc 发表于 2019-7-29 20:18
你错了，只是锁定了堆栈锁定时地址的变化( od 的对战表），不是那个区域做了快照 。。。晕死
内容还是继 ...

你可能没理解我的意思，我说的是截图，截图只是面板上的数据是固定的，实际上内容的数据是会跟着改变的，所以我才举了下面那个拍照的例子

无闻无问

锁定堆栈就是固定显示指定需要重点想关注或监视的堆栈地址数值变化，不因栈区变化而到处跑……仅是一种固定显示方式……不锁定即为动态显示……

wu0o0pj

无闻无问 发表于 2019-7-29 21:21
锁定堆栈就是固定显示指定需要重点想关注或监视的堆栈地址数值变化，不因栈区变化而到处跑……仅是一种固定 ...

看来看去，感觉描述最正确的就是这个回答了

正常调试时，如果ESP/EBP 改变，那堆栈区显示的地址范围跟着变动，堆栈最上一行显示的是 ESP/EBP 对应的堆栈地址

如果锁定，那堆栈区显示的地址范围就不会因为 ESP/EBP 的改变而变动