ollydebug+C32Asm

1.ollydebug

返汇编窗口、寄存器窗口、内存窗口、堆栈窗口

F9

Ctrl+F9

Alt+F9

F8

Ctrl+G

右键->search for->all intermodular所有call调用

修改文件后，右键->copy select->save file

hit跟踪：标记所有代码，未运行的分支清除，显示代码的执行分支

run跟踪：调试并保存记录，可以比较两次的执行结果

2.c32asm

EIP：当前代码地址

VA：载入内存后的地址

Offset：相对于PE文件头偏移地址

Image Base：exe->0x00400000，dll->0x10000000

OSP：.txt代码入口地址

VRK：文件和内存中对齐每一节，需要填充的00字节（由此可以得出结论，内存中各个节的地址未知，就不能计算VA）