123456

摘要： Run trace可以把被调试程序执行过的指令保存下来，了解以前发生的事件，它能把地址、寄存器的内容、消息等记录到Run trace缓冲区中，在运行Run trace前，要把缓冲区设置大些，否则执行的指令太多造成缓冲区溢出：如果要把Run trace的数据保存到文件，在跟踪之前，打开Run trace窗口，鼠标右击执行Log to file即会弹出个文件保存框需要运行Run trace，单击菜单Debug/Open or clear run trace，在打开Run trace缓冲区后，OD会记录在反汇编窗口显示的是被调试程序领空，在反汇编窗口的快捷菜单中选择Run trace/Add ent 阅读全文

摘要： 以下演示如何下条件断点：在调试过程中，经常希望断点满足一定条件时才中断，这类断点称为条件断点，在OD的帮助文档有详细的说明：(1)按寄存器条件中断:用OD打开Conditional_bp.exe，在0040147c，按shift+F2设置条件断点:输入表达式eax == 040000，这样如果eax为0400000h，OD将中断，用OD帮助文档解释下:040000- 所有整数常量都认为是十六进制的，除非后面跟了点EAX - 寄存器EAX的内容，解释为无符号数(2)按存储器条件中断先看下CreateFileA函数:HANDLE WINAPI CreateFile( __in ... 阅读全文

摘要： 以下演示如何下消息断点,OD运行TraceMe.exe，单击系统菜单View/Windows(查看/窗口)或单击工具栏的W按钮，如无内容，则执行右键菜单"Actualize"刷新命令现在要对Check按钮下断点，当单击按钮时中断，在Check行上单击鼠标右键，在弹出的右键菜单中，选择"Message breakpoint on ClassProc"当单击事件发生时，会发送WM_LBUTTONUP这个消息，所以，选中这个消息，单击OK，设好消息断点:单击Check按钮，将会中断到windows系统代码中，由于处于系统底层代码里，这时企图使用Alt+F9或C 阅读全文