YJX_RXJH_OD_命令

1、

dd　　dc　　

 

2、

硬件写入断点　　hw　　2.5.2 【05:25】　　【06:12】硬件中断在写入时　　【06:25】有时候它(硬件写入中断)会断在下一行(ZC: 应该就是断在下一行吧)

 

3、3.1.1

　　【14:30】dd esp　　　　==> dd后面能直接写寄存器...

　　【14:50】一个CALL具体是几个参数，在OD里面怎么看，看返回的地方 这里是“RETN 10” 在堆栈空间里面 清除掉/减掉 0x10个字节的空间，也就是 4个32位的DWORD，∴ 这里的参数个数就是 4个。这只能说明 压栈的参数是4个，别的方式(如 通过设置寄存器)传入的参数就不是这样的计算方式了...

 

4、2.5.3

　　【27:55】OD中 dc命令

　　【30:10】OD中 数据窗口，点击某处 状态栏可显示 该处的地址

5、2.5.7、

　　【20:22】OD 反汇编窗口，选中一条汇编指令 按下空格键 会显示 修改汇编指令的对话框

6、ZC

　　记得在哪一讲里面讲过 反汇编窗口 按减号"-"，OD可以退回到上次的地方　　(应该是在 范围2.1.3~2.5.9且大概应该是在2.5.?中，最多加一个3.1.1)

　　ZC: 实际上就是 反汇编窗口-->右键-->转到-->上个

7、2.5.9

　　【07:23】OD反汇编窗口，双击CALL指令 进入相应的CALL函数中

8、3.1.2

　　【24:20】OD指令 dc ：以ASCII的形式来显示内存数据

　　【25:05】OD修改内存数据 ：OD 数据窗口 --> 右击 --> Hex --> Hex/ASCII(16位)，找半天 没找到在哪里修改内存...

　　　　【25:35】“dd [144F134]+13C” --> OD 数据窗口 --> 右击 --> 修改。【25:48】另一种方式：OD 数据窗口 --> 右击 --> 二进制 --> 编辑

9、断点 窗口

　　断点 有效/进制 状态的切换 快捷键 ==> 空格键

10、3.2.2

　　鼠标双击 进入CALL中 "CALL Client.0045F480"。ZC: 只有“CALL 明确的地址”才能这样进入函数体，∵ 类似“CALL EAX”这样的写法 OD也不知道应该往哪里跳...

11、ZC

　　11.1、在使用 反汇编窗口-->右键-->查找-->命令序列 的时候，这一句指令"AND ESP,FFFFFFF8"会提示“未知标识符”，需要将它改成"AND ESP,-8"才行。

　　11.2、使用 "dd ???"命令时，如果地址是以字母开头 这条命令会执行失败(会提示 "未知标识符")，如"dd FCC34D8"，需要在字母前面加一个数字0 如"dd 0FCC34D8"

　　11.3、在使用 反汇编窗口-->右键-->转到-->表达式 (即 快捷键CTRL+G)的时候，如果转到的地址是以字母开头 同样需要在字母的前面加一个数字0 如0FCC34D8，否则会提示 "未知标识符"。

12、ZC

　　OD 快捷键 CTRL+A 用于分析代码，有时 OD会在左侧用一个大的中括号把整个函数括起来 这样看起来很直观，但是有时OD分析不出来 也就没有这个大的中括号。但是OD还是会在函数的第1句指令左侧标记一个"$"符号，看到这个符号 也就基本能确定这是函数的起始位置。

13、

14、

15、