逆向-6-条件记录断点

条件记录断点设置：

先bp MessageBoxA定位到MessageBoxA系统领空，然后取消CC断点，右键”断点“->”条件记录“

设置断点，该断点作用为：不截停，只记录触发断点时的esp(即函数返回地址)和函数参数

可以看进入B窗口，可以查看到条件记录断点信息

 

 点击L窗口，进入日志界面

 

 右键清除窗口

 

可以看到日志记录了函数调用地址、函数返回地址和函数参数

 

但这样存在一个问题：假如函数调用次数过多，而我们想要定位某一次函数调用，那该如何进行操作呢？

①先bp MessageBoxA，即在系统领空截停，”反汇编窗口中跟随“找到函数返回地址，记录函数返回地址

②设置条件记录断点中的条件为[esp]==函数返回地址

 

如下图，条件记录断点确实截停成功