OD显示的问题,请大大指教!
脱壳时,一个retn返回到OEP:004010CC,但为什么两个版本的OD的显示不一样呢,一个显示正常,如下:004010CC 55 push ebp
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
004010D2 56 push esi
004010D3 FF15 E0634000 call dword ptr ds: ; kernel32.GetCommandLineA
004010D9 8BF0 mov esi,eax
004010DB 8A00 mov al,byte ptr ds:
004010DD 3C 22 cmp al,22
004010DF 75 13 jnz short NotePad_.004010F4
004010E1 46 inc esi
004010E2 8A06 mov al,byte ptr ds:
004010E4 84C0 test al,al
004010E6 74 04 je short NotePad_.004010EC
另一个却像乱码一样,如下:
004010CC 55 DB 55 ;CHAR 'U'
004010CD 8B DB 8B
004010CE EC DB EC
004010CF 83 DB 83
004010D0 EC DB EC
004010D1 44 DB 44 ;CHAR 'D'
004010D2 56 DB 56 ;CHAR 'V'
004010D3 FF DB FF
004010D4 .15 E0634000 ADC EAX,NotePad_.004063E0
004010D9 8B DB 8B
004010DA F0 DB F0
004010DB 8A DB 8A
004010DC 00 DB 00
004010DD 3C DB 3C ;CHAR '<'
004010DE 22 DB 22 ;CHAR '"'
004010DF 75 DB 75 ;CHAR 'u'
004010E0 13 DB 13
004010E1 46 DB 46 ;CHAR 'F'
004010E2 8A DB 8A
004010E3 06 DB 06
004010E4 84 DB 84
004010E5 C0 DB C0
004010E6 74 DB 74 ;CHAR 't'
这是什么原因呢,是哪里设置不对吗? 右键-分析-从模块删除分析,试试看/:014 原帖由 VC8 于 2009-2-8 20:03 发表 https://www.chinapyg.com/images/common/back.gif
右键-分析-从模块删除分析,试试看/:014
这么做是行了,能不能默认就显示成像第一个一样呢 看第二列,都是一样的。第三列是OD对其的解释,解释方法不同,看上去不同而已。显示成第一个OD的样子,不保证永远正确 2楼说的很清楚了 一点也不费劲 不过是个CTRL+A,又不是那么的麻烦... 也来学习。
页:
[1]