为什么我在 Ollydbg 的第一个起始地址和其他人不一样?
(window7 64位)
我的 Ollydbg 起始地址是 777000000、77777777 等。我认为这是系统地址。
其他人和其他windows(xp,window7 32bit) Ollydbg起始地址是4000000 44000000。我认为其他人的dbg启动主函数或线程。
请修理我的 Ollydbg 谢谢
问问题
457 次
1 回答
0
Ollydbg 只能调试 32 位样本。即使您使用的是 64 位 Windows,也没关系,32 位进程在 SysWoW64 下运行。您不能使用 ollydbg 调试 64 位示例(请改用 x64dbg)。
至于你的问题:当你将一个PE加载到ollydbg时,按ALT+F9进入主模块的入口点(返回用户代码)你看到的是ntdll.dll中的一个地址,在实际代码之前您正在检查的样本。这个 dll 在更高的地址加载。
注意在ollydbg的窗口标题处,可以看到当前正在调试哪个模块。通常(并非总是),您要加载的 PE 的基地址(在 32 位 PE 中)位于 0x0400000
于 2018-03-29T11:58:00.783 回答