Почему мой начальный адрес в Ollydbg отличается от других людей

Question

Почему мой начальный адрес в Ollydbg отличается от других людей

Почему мой первый стартовый адрес в Ollydbg отличается от других людей?

(window7 64bit)

Мой начальный адрес Ollydbg - 777000000, 77777777 и т. Д. Я думаю, что это системный адрес.

Другие люди и другие окна (xp,window7 32bit) Начальный адрес Ollydbg похож на 4000000 44000000. Я думаю, что dbg других людей запускает основную функцию или поток.

пожалуйста, исправьте мой Ollydbg спасибо

0

ollydbg dbg

Источник

user9454371 07 мар '18 в 02:50

1 ответ

Другие вопросы по тегам ollydbg dbg

user2352016 29 мар '18 в 11:58 2018-03-29 11:58 · Answer 1 · 2018-03-29 11:58

Ollydbg может отлаживать только 32-битные сэмплы. Даже если вы используете 64-битные окна, это не имеет значения, 32-битные процессы запускаются под SysWoW64. Вы не можете отлаживать 64-битные сэмплы с помощью ollydbg (вместо этого попробуйте x64dbg).

Что касается вашего вопроса: когда вы загружаете PE в ollydbg, нажмите ALT+F9, чтобы добраться до точки входа основного модуля (возврат к пользовательскому коду), который вы видите, это адрес внутри ntdll.dll, перед фактическим кодом образец вы изучаете. Эта DLL загружается по более высокому адресу.

Обратите внимание, что в заголовке окна ollydbg вы можете увидеть, какой модуль вы сейчас отлаживаете. Обычно (не всегда) точка входа PE, которую вы хотите загрузить, находится в 0x0400000