逆向-3-内存断点

内存断点设置方式：

假设要再00401007这里下内存断点，可以看到这里存在mov，mov说明有内存写入，执行命令说明有内存访问

于是点击数据窗口，注意是数据窗口，并非CPU窗口，按下ctrl+g

 

 

 

 注意：内存断点不会显示在任意窗口中，即无法查看，需要人为记住(最好用txt记录)，重复设置内存断点，后一个内存断点会覆盖前一个内存断点。

内存断点删除：

点击”反汇编“窗口右键”断点“->"删除内存断点"

点击数据窗口数据->右键”断点“->"删除内存断点"

 

 

 

 

 

针对区段设置内存断点：

当程序执行到下断点的dll的时候就会被截停，之后即使按F9(运行程序)，也等同于F7单步步入

进入下面界面

 

 执行”反汇编窗口中跟随“

可以看到函数返回的地址为00401018，这是函数返回地址

可以看到调用函数的地址为00401013，这是调用函数地址