先说一点  ALT+L 看记录~

在某条语句上按了SHIFT+F4后出现了个对话框,

1)第一行是"条件": 要输入的肯定是你感兴趣的条件啦,比如说下面的俩句

 0041150 push eax
 0041151 call [TranslateMessage]

 你在0041150处下条件记录中断,假如这时候你要是想知道ESI等不等于0,那就可以设置条件 ESI==0 或ESI!=0 反正是关于ESI的条件了而不是只能利用这行的EAX. 当然一样可以在0041150处下断追消息,比如说你想知道按了 老鼠标移动消息,那么就设置 MSG==WM_MOUSEMOVE 或是 MSG==0200(移动的数字代码). 有人该问了,消息记录好象应该在下一行有函数的下断才正确吧?其实不一定非要在传递消息的那行0041151下断的,但在那行下断的好处是可以记录到函数参数,这在下面会讲到~   
 "条件"这的书写是按照 MASM32汇编的形式书写的,比如 == !=  > < 

2)"说明"="表达"
  "解码表达式的值"

 "说明"就是个注释啦,添不添无所谓了,除非你下的记录中断比较多,这样在记录里能看的明白~  
"表达"其实就是我们记录的核心啦,程序在我们第1小条里的"条件"为真的时候,就会记录我们在"表达"里填的内容,比如说ESI==0的时候,我们记录 [eax+4]的值
反正是你感兴趣的内容啦,若是想记录消息就添 MSG 啦,很多时候我们只添了"条件"而没有添"表达",程序中断后就会显示"未知的函数或标识符!",这就是原因了.
至于下面的"解码表达式的值"你可以随便选了,他不过是把记录后的数据又分析了一下, 比如说我们记录了[eax+4]的值是 201  ,那么当你选"信息代码(WM_XXX)"的时候那么你在记录(ALT+L看记录)里看到的就是被分析成了 201 WM_LBUTTONDOWN
当你选"布尔数值",那么记录里数值201后面就会跟个 TRUE了,其实就是OD对这个数据按照我们选择的类型又进行了一次分析而已~~

3)暂停程序 =>  永不    条件满足时  永远  
  这三个选择就是条件为真记录表达的时候程序暂不暂停程序,那就看你调试的需要了~

4)记录表达式的值 =>  永不    条件满足时  永远
 呵呵,要是选"永不",那么我们设立记录"表达"还有啥意义啊, 若是选"永远",那么条件似乎不就没意义了,因为记录的时候已经不管条件了,只要运行到这就记录表达.不过好象也可以利用的,自己去想想啦..我不说.
 一般都是选"条件满足"啦.

5)记录函数参数 =>  永不    条件满足时  永远
这个要是你下在没函数的那行,那么这行就变灰了~~    记录函数的参数很有意义啊,直接可以看到很多信息,我们比如说在有函数的那行下条件记录."条件"是 EAX==0  "表达"是 [EAX+4],然后在这选择记录函数参数在"条件满足时";当然你若只想记录运行到此处的函数参数,那么就空着"条件"和"表达"吧,同时3)和4)的选择也要变为"永不"了...也许你在记录了啥也看不到,因为运行到这行可能EAX总不=0 ,那么好换换 EAX>0 ,好象看了到一堆,然后还有PMSG=XXXX  Hw=XXXX,这就是运行到这里这个函数的参数啦~~  我们也可以记录 CREATFILEA 函数,那么就知道都打开什么文件了~~

6) "运行次数":0为无限次

[1] [2] 下一页