GetProcAddress函数设置条件记录断点
有一个问题就是如何设置条件断点到指定的函数位置断下,比如7C80AE40CALL 到 GetProcAddress 来自 buggers3.00401123
hModule = 7C800000 (kernel32)
ProcNameOrOrdinal = "TerminateProcess"
7C80AE40COND:
7C80AE40CALL 到 GetProcAddress 来自 buggers3.00401123
hModule = 7C800000 (kernel32)
ProcNameOrOrdinal = "lstrcmpA"
7C80AE40COND:
7C80AE40CALL 到 GetProcAddress 来自 buggers3.00401123
hModule = 77D10000 (user32)
ProcNameOrOrdinal = "FindWindowA"
73FA0000模块 C:\WINDOWS\system32\USP10.dll
我想条件断点断在 FindwindowA 函数上 该如何设置条件?
先GOTO到GetProcAddress函数段首,然后在段首设置条件断点,表达式: == "FindWindowA"
这个方法在VIP2教程中讲到了,是不是没认真看教程学习? 把EIP指定到你想下段的地址就行了 本帖最后由 失去的青春 于 2017-6-18 21:46 编辑
我先补充一下,GetProcAddress获取隐藏的函数地址间接调用。我用的是条件断点。就是说如果该程序间接调用了FindWindowA函数我该如何让od帮我断下来,就是条件断该如何设置。上面的是堆栈窗口我下的条件记录的所用到的函数。 Shark恒 发表于 2017-6-19 21:13
先GOTO到GetProcAddress函数段首,然后在段首设置条件断点,表达式: == "FindWindowA"
这个方法在 ...
被老大发现了啊,,谢谢老大解决我是 +8== "FindWindowA"弄错了 去esp地址加8了 。 失去的青春 发表于 2017-6-19 21:31
被老大发现了啊,,谢谢老大解决我是 +8== "FindWindowA"弄错了 去esp地址加8了 。
你在VIP论坛的问题我看到了,因为教程中讲到了,所以故意放你几天,让你自己去理解,结果你又跑这里来问了{:6_221:} Shark恒 发表于 2017-6-19 21:33
你在VIP论坛的问题我看到了,因为教程中讲到了,所以故意放你几天,让你自己去理解,结果你又跑这里来问 ...
学完一开始理解了 后面不用又忘记。老大你批评的对。我会回头再看一遍动手练习。
页:
[1]