我在ollydbg中打开了一个简单的反向我Windows应用程序,然后显示了“ ntdll”的代码。由于我想查看代码并运行“ ReverseMe”,因此我在“可执行模块”窗口上双击了“ ReverseMe”。然后显示“ ReverseMe”的代码。但是,当我单击“运行”按钮时,它将运行“ ntdll”,我在“ ReverseMe”的第二行放置了一个断点,但仍然运行“ ntdll”,然后在大约600毫秒后终止,当我单击“ “可执行模块”窗口下的“条目”选项卡,它显示“条目”是“ ntdll”,如何将条目设置为“ Reverseme”,或者如果不能更改条目或ntdll是强制入口点,那么建议我采用一种运行“ ReverseMe”。由于我在“ ReverseMe”的开始处放置了一个断点,因此它不能是“ ReverseMe”程序代码的退出过程。但是它实际上首先运行ntdll。

编辑:日志数据

Address    Message
           OllyDbg v1.10

           File 'D:\Other\Reverse Engineering\studying.reversing.OLLY.debugger.video.tutorials\tutorials\snd-reversingwithlena-tutorial01.tutorial\files\reverseMe.exe'
           New process with ID 000000AC created
00401000   Main thread with ID 00001E60 created
77CEC6D0   New thread with ID 00000738 created
77CEC6D0   New thread with ID 000013D0 created
00400000   Module D:\Other\Reverse Engineering\studying.reversing.OLLY.debugger.video.tutorials\tutorials\snd-reversingwithlena-tutorial01.tutorial\files\reverseMe.exe
             CRC changed, discarding .udd data
6FAF0000   Module C:\WINDOWS\system32\apphelp.dll
72280000   Module C:\WINDOWS\SYSTEM32\DAVHLPR.DLL
72290000   Module C:\WINDOWS\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_5.82.10586.0_none_811bc0006c44242b\COMCTL32.DLL
749E0000   Module C:\WINDOWS\SYSTEM32\CRYPTBASE.dll
749F0000   Module C:\WINDOWS\SYSTEM32\SspiCli.dll
74BC0000   Module C:\WINDOWS\SYSTEM32\kernel.appcore.dll
74BD0000   Module C:\WINDOWS\SYSTEM32\shcore.dll
74C60000   Module C:\WINDOWS\SYSTEM32\COMDLG32.dll
74DF0000   Module C:\WINDOWS\SYSTEM32\bcryptPrimitives.dll
74F70000   Module C:\WINDOWS\SYSTEM32\SHELL32.dll
763D0000   Module C:\WINDOWS\SYSTEM32\SHLWAPI.dll
76420000   Module C:\WINDOWS\SYSTEM32\msvcrt.dll
76770000   Module C:\WINDOWS\SYSTEM32\ADVAPI32.dll
76850000   Module C:\WINDOWS\SYSTEM32\RPCRT4.dll
76920000   Module C:\WINDOWS\SYSTEM32\profapi.dll
             Invalid or compressed Image Export Directory
76930000   Module C:\WINDOWS\SYSTEM32\USER32.dll
76A80000   Module C:\WINDOWS\SYSTEM32\sechost.dll
76AD0000   Module C:\WINDOWS\SYSTEM32\combase.dll
76D80000   Module C:\WINDOWS\SYSTEM32\KERNEL32.DLL
76E60000   Module C:\WINDOWS\SYSTEM32\KERNELBASE.dll
77090000   Module C:\WINDOWS\SYSTEM32\GDI32.dll
775F0000   Module C:\WINDOWS\SYSTEM32\powrprof.dll
776A0000   Module C:\WINDOWS\SYSTEM32\cfgmgr32.dll
776E0000   Module C:\WINDOWS\SYSTEM32\FirewallAPI.dll
77740000   Module C:\WINDOWS\SYSTEM32\windows.storage.dll
77CA0000   Module C:\WINDOWS\SYSTEM32\NETAPI32.dll
77CC0000   Module C:\WINDOWS\SYSTEM32\ntdll.dll
74A10000   Module C:\WINDOWS\SYSTEM32\IMM32.DLL
           Debugged program was unable to process exception
           Thread 00001E60 terminated, exit code 4000001E (1073741854.)
           Thread 000013D0 terminated, exit code 4000001E (1073741854.)
72170000   Module C:\WINDOWS\SYSTEM32\fwbase.dll
           Process terminated, exit code 4000001E (1073741854.)


#1 楼

默认情况下,第一个断点始终是System Breakpoint

选择options (ALT+O)
选择Start from Debugging
选择radio button Entry point of main module
在启动应用程序组时
ollydbg将在PeHeader->EntryPoint上中断





中编辑的注释您在其中编辑的日志显示进程已被4000001E wow64单步异常终止,您正在使一些x64 / x32混合出现问题,我的odbg版本是最新的v 2.01早期版本1.10在后期运行时出现问题os只能在xpsp3上运行

评论

我认为您的OLLY版本与我的版本不同,但是我发现了它并且已经选择了它。参见图片i68.tinypic.com/2hztq4k.png

–Pretty_Girl
16年8月5日在12:05
您是正确的,我使用的版本过旧。您可以将其作为答案,然后我可以接受吗?

–Pretty_Girl
16年8月5日在15:03