A:将光标移到目标位置按F4.(SoftICE等价功能键是F7)
Q:如何用OD修改可执行?
A:直接在反汇编代码区更改,这时可以使用汇编代码更改,然后选中修改后汇编代码右击-->复制到可执行文件-->保存文件.
Q:使用OD从内存区复制内存数据时候有时候无法将所有数据都复制到剪贴板
A:ALT+o打开调试选项选择“串”标签里面有个“无法打印ASCII转存为圆点”选中就可以了或用OD修改版可以主页工具下载栏目下
(nbw回答)
Q:OD为什么删除了断点重新加载时候这些断点都会重新出现
A:设置ollydbg.ini将配制文件里改成如下:BackupUDDfiles=1
(kanxue)
Q:如何还原到OD到分析前状态?
A:右键分析/从模块中删除扫描
Q:如果已经知道某CALL具体作用,能否把后面所有相同CALL都改成名形式?
A:比如CALL110000 此中已经知道110000是个核心计算
则如下操作,让光标停在CALL110000这个语句上,按回车键
会跳到110000地址上去显示,的后让光标停在110000上,按
sht和;(分号)其实就是完成个:(冒号)动作,输入
名称,这回所有110000处,都会显示CALL 你刚才输入
名称了.(nig回答)
Q:什么是UDD?
A:OllyDbg把所有或模块相关信息保存至单独文件中并在模块重新加载时继续使用这些信息包括了标签、注释、断点、监视、分析数据、条件等等
Q:OD数据窗口显示个下划线是什么意思?
A:重定位加下划线[Underlinefixups]几乎所有DLL和部分都包含重定位这样就可以在内存中区别基地址加载模块了当该项开启时CPU反汇编窗口或CPU数据窗口中重定位地址都将添加下划线(xing_xsz)
Q:用OD调试些加壳如Themida等可能你会发现下断后(包括硬件断点)跑到断点时OD会出现假死现像
A:打开OD配置文件ollydbg.ini你会发现:Restorewindows=123346 //这个Restorewindows可能会是个很大值
现在只需要将Restorewindows=0重新用OD调试假死问题就消失了 (kanxue)
Q:请问“bmsg30A12wm_gettext”这个命令OD中如何写?(OD中如何下消息断点?)
A:
http://bbs.pediy.com/showthread.php...;threadid=17671
还有:
SoftIce能够跟踪应用消息那么OllyDbg呢?
byFuZzYBiT
OllyDbg也是可以那是个非常"隐蔽功能"它是如此有用
1.打开
2.名字窗口[在CPU窗口中按CTRL+N]
3.查找User32.TranslateMessageAPI
4.右击/FindReferences(查找参考)
5.下条件断点[SHIFT+F4]
6.表达式:MSG
7.记录参数:永远
如果你不能找到它试试右击鼠标然后搜索全部模块中名称
但是如果我想要捕捉个特定消息如WM_COMMAND呢?
只对WM_COMMAND记录
用这个思路方法做:
1.打开个
2.名字窗口[在CPU窗口中按CTRL+N]
3.查找User32.TranslateMessageAPI
4.右击/FindReferences(查找参考)
5.下条件断点[SHIFT+F4]
6.条件框:MSGWM_COMMAND
7.记录参数:条件满足时
Q:些修改版OD无法源码级调试
A:OD默认是用DBGHELP.dll如果目录下没有这个OD会到系统目录下找DBGHELP.dll
而修改版OllyICE为了防止些检测DBGHELP.dll模块故将其改名了所以必须在当前目录下保留ICEHELP.DLL这个文件
最新评论