兩次斷點法

調試之前od要設置 選項 調試設置(alt+o)異常把這些東西全都打上√

全都忽略 忽略所有異常

點 alt+m 或點M找到我們的exe要找到與程序名字相同的段 程序領空

屬于程序本身的段 在程序的代碼地址下斷

在.rsrc 數據輸入表 下F2斷點 然后 再按shift+f9  (Shift+F9 忽略異常運行)

第二次斷點 還選M (快捷鍵alt+m)在原來位置上面  就是PE文件頭下sfx代碼上的那行

F2下斷 然后shift+f9  斷下來之后

我們要用到第二課的知識F8單步  然后呢  底下有個popad  就快到oep了

有大跳轉 大跳轉就是大于十進制的  50   小跳轉就是兩地址相差  不到 十進制50