OllyDbg技巧学习

1 尝试在反汇编代码中找到一个函数的二进制代码

    有的时候需要一个函数的二进制代码，注入到另外的一些地方；以此程序为示例，

八叉树的C++实现与原理解析-CSDN博客

Ollydbg打开可执行文件，我想先找到此函数的二进制代码体，

createOctree(OctreeNode<T> * &root,int maxdepth,double xmin,double xmax,double ymin,double ymax,double zmin,double zmax)

一直在里面晃来晃去的找， 在第四列会给出一些函数的名字，但是确实没有 createOctree 这个文本；

执行如下的菜单，

弹出如下的窗口，

 

这是程序中包含的所有文本，没有 createOctree ；

那么系统的函数名，像调用的Win32 API会被识别标记，自己的函数名，应该是编译之后变成了某种标记，不再是文本的函数名；

然后又找；发现，在第4列，有Arg1、Arg2这些东西，这应是函数的参数，被识别出来；

createOctree函数，有8个参数，代码只有此函数有8个参数，找到一个有Arg1-Arg8的Call，这个被Call的地址，应该就是createOctree函数的起始地址；

上图就是一个有8个参数的Call，0040E764，这地址应该就是 createOctree函数的起始，转到此地址，

上图应该就是 createOctree函数的起始；

那么如何找到函数的结尾呢；应该是找到call对应的ret，就结束了；问题是此call里面又包含多个call，不知怎么找到对应函数起始的call的ret；下回再说；

然后看一下代码里有 system("cls"); 这是从代码调用一个DOS命令；

在反汇编代码中识别出字符串 "cls"，看到有2个地方都调用了0040C3CE，

转到0040C3CE，这里应该就是system("cls")这个调用的执行部分的开始，

 

然后往下看一下，看到一个ret，在ret之前有command.com、cmd.exe这些字样，这就对了，cls是一个DOS命令，DOS命令是属于command.com或者cmd.exe；到这个ret，system("cls")这个语句的执行部分也许就结束了；

 

有时间继续；