第二章——动态分析技术-OD常见问题
1.乱码问题
当OD追踪程序时候,发现OD将代码解析成数据,从而没有反汇编识别,这是通过Ctrl+A来让OD重新分析代码,如果还是无法识别可以通过右键快捷菜单中的
或者删除UDD目录中删除对应的UDD文件
2.已经删除了断点,OD重新加载时候断点又重新出现
在配置文件ollydbg.ini中的相应内容改成“Backup UDD files=1”
3.在OD反汇编窗口中输入"push E000" 会提示未知标识符
出现这样的原因是因为OD的反汇编引擎不能正确识别字符“E000”中的E是字母还是数字,
解决办法:在字母前加"0"表示这是数字 ——"push 0E000"
4.OD出现假死现象
用OD调试一些加壳程序,程序运行到断点,OD会出现假死,这时需打开配置文件ollybdg.ini,如果“Restore windows”是一个很大的值,就设置"Restore windows 0"
5.微调窗口显示
可以通过“Ctrl + ↑”或 Ctrl + ↓”快捷键对反汇编窗口或数据窗口翻动1字节
6.执行复制到可执行文件,提示错误“Unable to locate data in executable file”
"无法定位可执行文件中的数据" 这种情况下需要修改PE文件 使“RawSize=VirtualSize”具体后面的帖子学习PE结构会说到