文章目录
前言 一、OD 调试数据时硬件断点对应的关键代码 二、删除硬件端点恢复运行
前言
在【Windows 逆向】OD 调试器工具 (CE 中获取子弹动态地址前置操作 | OD 中调试指定地址的数据)博客中,我们介绍了如何在 OD 中调试指定地址。本文将具体讲解相关操作的详细步骤。
一、OD 调试数据时硬件断点对应的关键代码---
在数据面板中,右键点击指定地址,选择“端点/硬件访问/Dword”选项,设置硬件断点。
当有指令访问该地址时,会触发断点,程序会暂停并挂起。
访问该地址的关键代码是阻塞位置的前一行代码,如下图所示:
蓝色矩形框中的代码
mov edx, dword ptr [esi + D0]
虽然这行代码是阻塞的,但它并不是关键代码。访问05822F1C地址的关键代码是红色矩形框中的代码:
mov eax, dword ptr [esi + CC]
阻塞代码的前一行代码,才是访问指定断点地址的关键代码。
二、删除硬件端点恢复运行---
在菜单栏中选择“调试/硬件断点 (H)”选项。
弹出“硬件断点”对话框。
点击硬件断点后面的“删除 n”按钮,删除该硬件断点。
点击执行按钮,程序将继续运行。
