1、OD 加载exe --> 运行到用户代码,断下之后 --> 堆栈窗口 ESP 右击 数据窗口中跟随 --> 将数据窗口的下拉框拉到最下面
(或者直接看堆栈窗口)
如下图:
ZC: 此图效果为 XPsp3中的效果,有如下信息:
(1)、此时的 ESP值为 0012FFC4,其值 正好就是 调用kernel32.7C817067 (也就是即将调用 ExitThread)
(2)、程序正常结束后,就会执行 ExitThread
(3)、7C817044 这个函数叫什么名字?(看了 OD中kernel32.dll的加载地址为 7C800000)用VC6的Depends看了一下,貌似是一个没有名字的函数(未公开导出?),如下图:
ZC: 只知道它 位于 RegisterWaitForInputIdle 的下面。
2、
3、
原文:http://www.cnblogs.com/debugskill/p/5613119.html