1.ollydebug
返汇编窗口、寄存器窗口、内存窗口、堆栈窗口
F9
Ctrl F9
Alt F9
F8
Ctrl G
右键->search for->all intermodular所有call调用
修改文件后,右键->copy select->save file
hit跟踪:标记所有代码,未运行的分支清除,显示代码的执行分支
run跟踪:调试并保存记录,可以比较两次的执行结果
2.c32asm
EIP:当前代码地址
VA:载入内存后的地址
Offset:相对于PE文件头偏移地址
Image Base:exe->0x00400000,dll->0x10000000
OSP:.txt代码入口地址
VRK:文件和内存中对齐每一节,需要填充的00字节(由此可以得出结论,内存中各个节的地址未知,就不能计算VA)