很简单的程序按钮事件代码也只写了结束()
OD载入运行程序下退出断点返回程序点击按钮OD在断下来了 看堆栈窗口选中第一行反汇编窗口中跟随
来到这里 也是没有跳转能跳过这个CALL 在断首下段删除之前的API 断点
重新加载程序F9运行点击按钮 看到信息窗口里面有三个地址了吗?这三个地址就是这个子程序的上一层
其实你也可以直接把调用退出的CALLNop
这是本人的想法 如果有不对的地方请各位大神纠正一下让我也学习学习
谢谢
本帖最后由 公子世无双 于 2016-2-22 18:52 编辑
应该这样
还有你可以看一下, 运行停在断点的时候 窗口是否还在,如果已经不存在了 那就是窗口已经销毁但是进程还在,这种情况下如果你NOP掉也只能
出现停止工作 挽救不回来 所以你去找到退出前的地方下手吧
理论上断首RETN
或者回溯AIT+F9
页:
1
[2]