我是组装和逆向工程的新手,我有一个关于地址如何工作的问题。我使用不同的 PE 工具检查了程序的入口点,结果是0x00043b33,但是当我将相同的程序加载到 ollydbg 时,起始地址是0x770B0D54。另一件事是我逐行执行程序,它以某种方式跳回到0x00043b33处的入口点,然后再次返回地址0x770B0D54。有人可以指导我吗?
程序入口点
逆向工程
拆卸
部件
ollydbg
2021-07-06 20:52:46
1个回答
这是你想打破的问题。地址0x770B0D54在内核代码中,它可能在内核开始执行用户代码之前。如果在main执行之前发生了一些魔术并且您想逐步完成,则很有用。
另一方面0x00043b33是 int 用户代码,它可能是main函数的地址,因此它是应用程序的真实代码。
在 OllyDbg 中你可以在 Options->Debugging, Startup and exit 中控制初始断点
