为什么我在Ollydbg中的第一个起始地址与其他人不同?
(window7 64bit)
我的Ollydbg起始地址是777000000,77777777等。我认为这是系统地址。
其他人和其他窗口(xp,window7 32bit)Ollydbg起始地址就像4000000 44000000.我认为其他人的dbg启动主要功能或线程。
请修复我的Ollydbg谢谢
答案 0 :(得分:0)
Ollydbg只能调试32位样本。即使您使用的是64位窗口,它也很重要,32位进程在SysWoW64下运行。您无法使用ollydbg调试64位样本(请尝试使用x64dbg)。
至于你的问题: 当您将PE加载到ollydbg时,按ALT + F9进入主模块的入口点(返回用户代码),在您正在检查的样本的实际代码之前,您看到的是ntdll.dll中的地址。这个dll加载到更高的地址。
请注意,在ollydbg的窗口标题中,您可以看到当前正在调试的模块。 通常(并非总是),您要加载的PE的入口点为0x0400000