为什么我在 Ollydbg 中的起始地址与其他人的不同
Why my start address in Ollydbg is different than other people
为什么我在 Ollydbg 中的第一个起始地址与其他人的不同?
(window7 64位)
我的Ollydbg起始地址是777000000、77777777等,我认为这是系统地址。
其他人和其他windows(xp,window7 32bit) Ollydbg起始地址好像是4000000 44000000。我觉得其他人的dbg启动的是main函数或者线程。
请修复我的Ollydbg谢谢
Ollydbg 只能调试 32 位示例。即使您使用的是 64 位 windows,也没关系,SysWoW64 下的 32 位进程 运行。您不能使用 ollydbg 调试 64 位样本(请尝试使用 x64dbg)。
关于你的问题:
当你将 PE 加载到 ollydbg 时,按 ALT+F9 进入主模块的入口点(return 到用户代码)你看到的是 ntdll.dll 中的地址,之前您正在检查的样本的实际代码。此 dll 在较高地址加载。
请注意,在 ollydbg 的 window 标题处,您可以看到当前正在调试的模块。
通常(不总是),你想要加载的 PE 的基地址(在 32 位 PE 中)是 0x0400000
为什么我在 Ollydbg 中的第一个起始地址与其他人的不同?
(window7 64位)
我的Ollydbg起始地址是777000000、77777777等,我认为这是系统地址。
其他人和其他windows(xp,window7 32bit) Ollydbg起始地址好像是4000000 44000000。我觉得其他人的dbg启动的是main函数或者线程。
请修复我的Ollydbg谢谢
Ollydbg 只能调试 32 位示例。即使您使用的是 64 位 windows,也没关系,SysWoW64 下的 32 位进程 运行。您不能使用 ollydbg 调试 64 位样本(请尝试使用 x64dbg)。
关于你的问题: 当你将 PE 加载到 ollydbg 时,按 ALT+F9 进入主模块的入口点(return 到用户代码)你看到的是 ntdll.dll 中的地址,之前您正在检查的样本的实际代码。此 dll 在较高地址加载。
请注意,在 ollydbg 的 window 标题处,您可以看到当前正在调试的模块。 通常(不总是),你想要加载的 PE 的基地址(在 32 位 PE 中)是 0x0400000