但方法有点出路
在
00401000 >B8 F80A5900 MOV EAX,SuperRam.00590AF8 ; 停在此处
00401005 50 PUSH EAX
00401006 64:FF35 0000000>PUSH DWORD PTR FS: ; F8到此
0040100D 64:8925 0000000>MOV DWORD PTR FS:,ESP ; 下断 HR ESP
00401014 33C0 XOR EAX,EAX
00401016 8908 MOV DWORD PTR DS:,ECX
00401018 50 PUSH EAX
00401019 45 INC EBP
0040101A 43 INC EBX
0040101B 6F OUTS DX,DWORD PTR ES: ; I/O 命令
0040101C 6D INS DWORD PTR ES:,DX ; I/O 命令
按f9到达的是00401016也就跳了3行 不是你说的
00590B27 83C4 04 ADD ESP,4
然后我再按了次f9 不能运行
shift +f9 忽律异常达到的地方也不是00590b27
但后面我也是一路按 f8下来 终于看到了
pushebp
可以dump拉
有个问题
是不是看到 push ebp就是到达了oep标志
还有
为什么不一开始下短点hr0012ffa4
还要运行几行到esp是 0012FFC0才下这个短点
有什么根据啊 在学习一次啊。。。。 ESP真的很有用啊。。。。我也脱不少了。。。学习中。。 看完了這一篇,我突然有一個問題
對ESP下断点大部分是使用HR ESP
可是在飄云大大發表的ESP定律详解
https://www.chinapyg.com/viewthread.php?tid=170&highlight=esp
使用HW來下断点
請問大大們,HR和HW二者的差別 原帖由 pgailnew 于 2006-9-14 04:57 发表
看完了這一篇,我突然有一個問題
對ESP下断点大部分是使用HR ESP
可是在飄云大大發表的ESP定律详解
https://www.chinapyg.com/viewthread.php?tid=170&highlight=esp
使用HW來下断点
請問大大們,HR和HW二者 ...
试试。。。
如果功能一样的话,那个都可以用。受教啦。 原帖由 野猫III 于 2006-9-14 08:06 发表
试试。。。
如果功能一样的话,那个都可以用。受教啦。
http://bbs.pediy.com/showthread.php?threadid=10829
硬件断点的原理 作者:Lenus 原帖由 wzwgp 于 2006-9-14 09:34 发表
http://bbs.pediy.com/showthread.php?threadid=10829
硬件断点的原理 作者:Lenus
不明。。。 学习。。。。。。。。。
页:
1
[2]