反汇编笔记

1.OD中ctrl+f9:运行到返回，就是运行到当前断点所在的函数末尾"retn xxx"处，若xxx=10，那么
10等于10进制的16，就是说这个函数有4个参数，一个参数默认是占4字节，所以就是retn 10。

2.调试程序时，在OD内部小窗口左上角会显示当前断点所在的函数层，是在系统领空还是某个应用程序领空。

3.call前出现lea edx,dword ptr ss:[ebp-x]的分析方法：
当在call处出现类似于下面，在call内部存在对edx的使用时：
call处：
lea edx,dword ptr ss:[ebp-8]   ;将ebp-8堆栈地址赋给edx，注意是堆栈地址，不是堆栈地址上存储的数据。
call 0045255c
call内部：
mov esi,edx
...
push esi
那么在写call调用的时候，怎么办呢？
只需要查看当程序停在call处时，edx寄存器的数值，然后去找到edx数值代表的堆栈地址处存储的数据是什么。
是1，所以我们就可以通过ce查找出当前为0的值，为0可能就是无关数据，选择一个地址，修改为1，然后将该地址
赋给edx。
就是mov edx, xxxxx
call 0045255c

4.call内部出现mov ebx,dword ptr [esp+8]，为什么此句不用分析呢，难道不可能是取call通过堆栈传的参数吗？

5.如果call是堆栈传参，那么在call前面就会有push，那么我们在分析call参数时，就要关注call内部从堆栈取数的操作；
反之，如果call是寄存器传参，那么在call前面就没有push，所以在call内部，我们就不必关注从堆栈取数的操作。
如果是堆栈传参，那么在call内部我们就不用再分析从堆栈取数的操作了，就会更加简单；其实不管是堆栈传参还是寄存器传参，
我们都可以不用管内部类似于mov edx,dword ptr ss:[ebp-8]这样的取堆栈操作，因为假如是堆栈传参，那么这样的操作一定是
取参数的，我们已经知道了在调用call前push了，何必还分析呢；假如是寄存器传参，那么对堆栈的操作也不用分析，因为我们
只关心call的参数，既然参数时寄存器，在call前只需mov xxx,yyy，就可以了。

6.OD中没有$函数头标识以及竖线，可以按ctrl+A进行分析，就可以显示了。

7.使用OD直接打开程序与附加已经运行的程序，会有所不同。
在查找花指令时，若使用附加进程，则找不到花指令，使用od直接
打开就可以找到花指令。

8.OD附加进程出现“调试字串：D3DX系统找不到指定的文件”？
去下载DX9.0c，再去下载个StrongOD插件；安装dx9.0，将StrongOD插件解压放到OD工具
PLUGIN目录下，重启软件就可以了。

9.CALL 的参数其实就是在调用 CALL 的时候所需要的运行环境。

10.找无参数call的方法：
比如找加血减血的call，那么先用CE找出血值地址，然后进入OD，将该地址设置硬件中断(hw 416698),在调用加血减血函数时，在其函数内部就会对血值写入新数值，那么在代码访问到416698地址时，就会发生中断。代码短直接看，代码长使用ctrl+f9执行到返回，这样便很容易找到call。

11.要生成一个Release版本的就可以了，你得先设置一下： 在“工程”中选择“设置”打开Project Settings对话框，
先在“设置”下拉列表中选择Win32 Release，然后在右侧设置为“使用MFC作为静态链接库”。点击确定。 
再打开“组建”下的“批组建”，勾掉Win32 Debug，然后再点击“创建”。这时应该能够生成一个Release版本的应用程序。 这个程序就可以直接拷到别人的电脑上运行，不必安装VC

12.堆栈传参call写法。
经过4次的分析，最终找到了调用call，程序老是崩溃的原因：
在程序中查找call的c代码为：
int add(int a, int b)
{
return (a+b);
}

反汇编代码为：
004014E5   .  E8 44020000   CALL
004014EA   .  8B46 64       MOV EAX,DWORD PTR DS:[ESI+0x64]
004014ED   .  8B4E 68       MOV ECX,DWORD PTR DS:[ESI+0x68]
004014F0   .  50            PUSH EAX
004014F1   .  51            PUSH ECX
004014F2   .  E8 D9FFFFFF   CALL test.004014D0
004014F7   .  83C4 08       ADD ESP,0x8
004014FA   .  8BCE          MOV ECX,ESI
004014FC   .  8946 60       MOV DWORD PTR DS:[ESI+0x60],EAX
004014FF   .  6A 00         PUSH 0x0
00401501   .  E8 28020000   CALL
其中下面是add的call
004014F0   .  50            PUSH EAX
004014F1   .  51            PUSH ECX
004014F2   .  E8 D9FFFFFF   CALL test.004014D0
004014F7   .  83C4 08       ADD ESP,0x8
call内部为：
004014D0  /$  8B4424 08     MOV EAX,DWORD PTR SS:[ESP+0x8]
004014D4  |.  8B4C24 04     MOV ECX,DWORD PTR SS:[ESP+0x4]
004014D8  |.  03C1          ADD EAX,ECX
004014DA  \.  C3            RETN

第一次调用call时，在注射器中输入
push 1
push 2
call 004014f2
add esp,0x8
程序老是要崩溃，然后就自己单步查看堆栈情况，因为这个call是通过堆栈传递的2个参数。
当程序单步到004014D0时，堆栈情况：
0532ffa8 004014f7   ;CALL test.004014D0返回地址
0532ffac 04720009   ;注入的线程调用函数返回地址
0532ffb0 00000002   ;push 2
0532ffb4 00000001   ;push 1
0532ffb8 7c80b729   ;为压栈前esp的值，在调用call之后，esp应该回到这个位置。

而在call内部，分别取ESP+0x8，ESP+0x4，这2个参数，此时esp=0532ffa8，那么
[ESP+0x8]=2,[ESP+0x4]=04720009,可以看到参数已经取错了。再次当call执行完毕后，将0532ffa8处的
函数返回地址弹出，函数继续执行下一条指令ADD ESP,0x8，此时esp=0532ffac+8=0532ffb4，可以看到
esp的值并没有回到调用call之前的值，所以造成堆栈不平衡，程序就崩溃了。
解决方法：
类似于这种堆栈传参的call调用，不能调用call所在的地址，因为这样会多在堆栈中压入一个返回地址，
从而造成堆栈不平衡。只能直接调用call内部的第一条指令，就可以了。
           PUSH EAX
           PUSH ECX
004014F2   CALL test.004014D0
           ADD ESP,0x8

不能call 004014F2，只能call 004014D0。

正确的写法是：
push 1
push 2
call 4014D0
add esp,0x8

不管是有参还是无参call，最好都调用call内部的第一条指令地址，这样一定没有错。

13.OD命令：
hw 00416698，在00416698处添加硬件断点
dd 2AE6C68，显示2AE6C68处的内存地址
dd [03109164]+i*4+00000404   // 在od中数值方式显示数组[i]
dc [03109164]+i*4+00000404   // 在od中ASC字符方式显示数组[i]
ctrl+'-'：查看上一个过程
ctrl+'+': 查看下一个过程

14.OD跟踪的使用：
右键->HIT跟踪和RUN跟踪，HIT可以查看代码的执行过程，HIT为“击中”的意思，被执行的代码会变色，而RUN可以设置条件，及从上面某一行代码开始执行(ctrl+f11跟踪步入，strl+f12跟踪步过)，执行到下面某行代码满足条件，就会断下来，例如可以查找某寄存器的值在哪条代码被修改。
    在已经使用跟踪的情况下，按"-"键可以一条一条查看执行过的代码和数据情况，同时在寄存器，堆栈窗口的数据也会随着代码的返回而更新。

15.mov eax,dword ptr ds:[esp+20]与mov eax,dword ptr ss:[esp+20]的区别：

ds表示从内存地址esp+20处取一个双字数据存入eax,ss表示从堆栈地址esp+20处取一个双字数据存入eax。