最近很多逆向都是多线程困扰,所以比较无力,百度了一下!转载过来!
转载地址:http://blog.csdn.net/whatday/article/details/9059281
OD只能单线程调试,也就是每次只能跟一条线程。以前我调试时常常迷迷糊糊就进入新线程,而有时又怎么也进不了。。。
最近大概明白了一点点。
方法:首先是设置StrongOD,如下图:
不要勾选“Skip Some Exceptions”, 还有OD本身里面的异常都不要勾选!很重要!
到新建线程里面有个参数是线程函数的指针,如下图所示:
首先是在上面那个“003E015C”处出下F2断点.
然后直接F8步过CreateThread函数,一般不会跳到"003E015C", OD单线程调试的原因……
让它跳到"003E015C"一般是下面跟有Sleep函数或者是WaitForSingleObject函数,有时候却没有遇见这样的函数,一直在主进程囧....
所以我一般手动修改它下面接着的代码,一般修改为Sleep函数,参数少麽?函数名短…………如下图,注意Sleep的函数大小写……
修改前做个快照,比较烦人的有很多CreateThread的那种,线程多了就一个调试吧……
你要是没有取消StrongOD的忽然异常设置会导致下面的情况发生,开始困扰了我很久(默认是勾选的)
最近发现了一种简单的方法,首先点击OD界面上那个T标识,然后右键“设置优先权”-->"空闲"
注意开始的优先级是“32+0”,修改后的事“32-15”即如图:
这样F8步过CreateThread的调用是会自动跳到那个“003E015C”。