先在这里声明，俺是一个初哥、不折不扣的初哥、如假包换的初哥。对汇编有一点朦胧的美好

印象（因为有N多年没有用了，这里N >= 5）、对软件逆向工程的了解  ＝ 对OD的了解、

对数据加密的知识 也 ＝ 对OD的了解，而对OD的了解， 仅限于最近两周在看雪的恶补，所以在

帖子中的外行，请各位大侠帮忙、指点

   这个帖子一方面是求助各位老虾，另一方面想将俺的实现艰难历程记录下来

   先说俺的目标：
      
   俺这里有一个软件Xsoft(抱歉这里不提软件名字了，请大虾们原谅)，在每次双击左键选择 “XYZ功能”了以后，都会弹出一个页面

   XYZ(标题名称)

     ABC指标:XXXX  
     BCD指标:XXXX
     DEF指标:XXXX

     这些指标时刻在变，可以看到，但是不能保存下来，但是俺现在又灰常灰常灰常想把他们保存

下来，怎么办涅？

   俺就用C写了一个软件可以，将 Xsoft 的TCP/IP 报文拦截了下来。通过WPE，确定了ABC、

BCD、DEF指标存放在那个报文中

   然后、然后

     问题就来咧，俺怎么将这些指标值从报文里面解出来涅？

   最后思来想去、想来思去，Baidu了N次、Google了N＋1 次，找到看雪来了，这一来，就仿佛

多年在外的游子，总算找到了家、又仿佛失散多年的党员，最终找到了组织。

   在看了N＋M天的帖子以后，俺根据看雪里面各位大虾的做法，确定了一个伟大而艰巨的目标

   用OD 作逆向工程

   哦的亲娘诶

   这就算踏上不归路了
   
   先看汇编 ，生成了一头雾水

   在看OD  ，又生成了一头雾水

   今天看了坛子里头Wrong兄弟的大作（ollydbg只要知道窗口标题或窗口类名下断的方法）

   总算初步有了一点眉目，俺按照里头的做法

   1、启动OD

     2、将Xsoft打开

   3、运行XSoft，暂停

   4、进入windows子窗口，可以看到XYZ功能的定义是一个button

   5、进入CPU 窗口，Ctrl＋G， 输入 CreateWindowExA

    6、进入Code 窗口，Shift ＋ F2 ，输入 [esp+12]==XYZ功能 （这里XYZ功能代表Xsoft

软件的中文标题）

   还真找到了一个入口，底下还有 12 条入栈指令（联想到俺要找的那些数字也正好是 12 个，

难道还真是俺一直寻找的东东吗？）

   

    现在想跟各位老虾请问一下：

  1、通常在这里设置的条件断点，是否确实就是俺要找的那个button 的如果（因为俺在windows子窗口中，看到父窗口虾，有好几个子button 哦，能否以上步骤，确定俺的真正入口呢？）
   
  2、因为俺的目标是解密算法，这样的话，就需要进行逆推

      因为俺已经知道了最终值，在OD中，用甚么指令，可以找到内存中这个值的存放地址？

  3、用甚么指令，可以在这个地址被写入的时候，被中断掉呢？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课