ollydebug+C32Asm

2019-07-09 14:34:49 浏览数 (1)

1.ollydebug

返汇编窗口、寄存器窗口、内存窗口、堆栈窗口

F9

Ctrl F9

Alt F9

F8

Ctrl G

右键->search for->all intermodular所有call调用

修改文件后,右键->copy select->save file

hit跟踪:标记所有代码,未运行的分支清除,显示代码的执行分支

run跟踪:调试并保存记录,可以比较两次的执行结果

2.c32asm

EIP:当前代码地址

VA:载入内存后的地址

Offset:相对于PE文件头偏移地址

Image Base:exe->0x00400000,dll->0x10000000

OSP:.txt代码入口地址

VRK:文件和内存中对齐每一节,需要填充的00字节(由此可以得出结论,内存中各个节的地址未知,就不能计算VA)

0 人点赞