请教OD如何给新线程下鼠标双击消息断点

Posted 2023-05-15

默认情况下，在调试多线程程序时，当遇到断点时(breakpoint)，当前线程暂停，而其它线程继续运行，有些情况下，这是我们不想要看到的。比如下面的例子：除第21个线程以外，其余都是Running状态。修改：Window->Preferences->Java->Debug:在红色区域内，将默认的SuspendThread改为SuspendVM再调试多线程程序:可以看到所有线程都Suspend了。 参考技术A CTRL+A汗一个。

OD 实验(十五) - 对一个程序的逆向

程序：

打开程序

出现一个 NAG 窗口

这是主界面

点击 Exit

程序出现 NAG 窗口，然后退出

用 PEiD 看一下

是用 VC++ 6.0 写的程序

逆向：

用 OD 载入程序

跑一下程序

出现 NAG 窗口时暂停

按 Alt+K 显示调用堆栈

这个是 MFC 的对话框，双击来到它所在的地方

下一个断点，重新跑一下程序

OD 停在了断点处

按 F8 往下走一步

NAG 窗口出现了

过了几秒就往下走了一步了

按 F9 运行

程序又停在了这个断点处

按一下 F8

主窗口出现了

点击 Exit

OD 往下走了一步

按 F9 运行

OD 又停在了断点处

按一下 F8

程序关闭的 NAG 窗口出现了

说明这个断点是三个窗口出现的地方

这个 call 语句上面有个 je 跳转指令，如果执行跳转的话，将跳过这个 call 语句

如果这个 je 跳转指令第一次执行跳转，第二次不执行跳转，第三次执行跳转，就会只显示主界面不显示 NAG 窗口

可以用到条件判断，设一个变量 i，如果 i 等于 2 的话就不执行跳转，i 等于 1 或 3 的话就执行跳转

按 Alt+M 显示内存窗口，查看程序的 PE 头结构

双击进入 data 段

找到一块没数据的地方

先测试一下这块地方在程序运行的时候会不会被影响到

右键 -> 断点 -> 硬件访问 -> Byte，关注这一个字节

重新跑一下程序，程序运行过程中没有停在该断点处，说明程序运行过程中没有对该字节区域造成影响

接下来在代码块区域找一个空白的地方

接下来使用 OD 的一个插件 NonaWrite 进行修改

在 NonaWrite 上写汇编代码

0x437D6E 为要修改的地址

下面为要修改的语句

写完之后点击“汇编”

然后把 je 跳转指令改为 jmp

保存文件，运行程序

 没有了 NAG 窗口，只有主窗口