OD里SHIFT+F4条件断点用法篇.doc

致菜鸟: OD里SHIFT+F4条件断点用法篇发帖人:pjb时 间: 2005-08-24 20:25 原文链接:/showthread.php?threadid=16494 高手就不必看了,若有错误的地方请指正!先说一点 ALT+L 看记录在某条语句上按了SHIFT+F4后出现了个对话框,1)第一行是条件: 要输入的肯定是你感兴趣的条件啦,比如说下面的俩句0041150 push eax0041151 call TranslateMessage你在0041150处下条件记录中断,假如这时候你要是想知道ESI等不等于0,那就可以设置条件 ESI=0 或ESI!=0 反正是关于ESI的条件了而不是只能利用这行的EAX. 当然一样可以在0041150处下断追消息,比如说你想知道按了鼠标移动消息,那么就设置 MSG=WM_MOUSEMOVE 或是 MSG=0200(移动的数字代码). 有人该问了,消息记录好象应该在下一行有函数的下断才正确吧? 其实不一定非要在传递消息的那行0041151下断的,但在那行下断的好处是可以记录到函数参数,这在下面会讲到 条件这的书写是按照 MASM32汇编的形式书写的,比如 = != 永不 条件满足时 永远 这三个选择就是条件为真记录表达的时候程序暂不暂停程序,那就看你调试的需要了4)记录表达式的值 = 永不 条件满足时 永远呵呵,要是选永不,那么我们设立记录表达还有啥意义啊, 若是选永远,那么条件似乎不就没意义了,因为记录的时候已经不管条件了,只要运行到这就记录表达.不过好象也可以利用的,自己去想想啦.我不说.一般都是选条件满足啦.5)记录函数参数 = 永不 条件满足时 永远这个要是你下在没函数的那行,那么这行就变灰了 记录函数的参数很有意义啊,直接可以看到很多信息,我们比如说在有函数的那行下条件记录.条件是 EAX=0 表达是 EAX+4,然后在这选择记录函数参数在条件满足时;当然你若只想记录运行到此处的函数参数,那么就空着 条件和表达吧,同时3)和4)的选择也要变为永不了.也许你在记录了啥也看不到,因为运行到这行可能EAX总不=0 ,那么好换换 EAX0 ,好象看了到一堆,然后还有PMSG=XXXX Hw=XXXX,这就是运行到这里这个函数的参数啦 我们也可以记录 CREATFILEA 函数,那么就知道都打开什么文件了6) 运行次数:0为无限次7) 如果程序暂停,发动如下参数到插件中.我不会,我就会上面那些,希望高手给补充一下,好让我们这些菜鸟学学注意一点: 我们在OD菜单查看=窗口里也可以用老鼠标右键给窗口过程下消息断点,下完后你可以用SHIFF_F4打开那个消息断点,发现它其实就是条件记录断点的一种形式而已举个例子吧:比如说一个程序要求注册,点后出现一个注册窗口那么我们就要对点注册按钮下断,看看它之后执行了什么注册窗口如果是对话框,那么肯定要用函数 CreatDialoParam或DialogBoxParam 若你对这俩函数都不了解的话,那就去看看书吧.首先用OD里的插件窗口工具获得注册按钮的标识(即ID),比如说是0422,记录下来备用啦,在OD里对这俩函数下断,然后执行程序,让注册窗口显示就会中断,OD里看堆栈,此函数的第4个参数pDlgProc就是对话框的过程入口了,这里是0041b0b0是入口去对话框入口处,SHIFT+F4,在条件里输入 ESP+8=0111 & ESP+C=0422 表达可以空着,暂停程序在条件满足时又该问了,为什么这么写? 请记住: 由于是过程调用,肯定要先向堆栈里压数据的,也就是标准说法:传递参数! 对于对话况过程或窗口过程,执行到入口处的时候堆栈内肯定压入的是MSG消息结构的数据,那么 ESP+8正好是WM_xxx消息,由于点了按钮我们肯定要抓的是WM_COMMAND消息 也就是111啦,这个不明白去看书 ESP+C是Wparam参数,就是窗口的ID号了,这个条件就是当你按下了ID为422的注册按钮的时候中断,接下来你就可以单步看了 当然,你用窗口工具的时候也能看到按钮的子窗口句柄,这时候 ESP+10就是它的数值了,也一样可以代替 ESP+C=0422的条件了.其实都一样的,友人该说了,不会用工具怎么办啊,那就