OllyICE入门教程 OllyICE使用实例教程初学必备

ollyice是一款windows平台下知名的反汇编软件，目前已经代替softice成为当今最为流行的调试解密工具之一，同时，ollyice还支持插件扩展功能，最擅长分析函数过程、循环语句、选择语句、表、常量、代码中的字符串、欺骗性指令、api调用、函数中参数的数目和import表等等，这些分析增加了二进制代码的可读性，减少了出错的可能性，使得我们的调试工作更加容易。需要的朋友们可以下载试试！

需要说明的是，由于ollydbg 1.1官方以不再更新，故一些爱好者对ollydbg修改，以新增一些功能或修正一些bug，ollyice就是其中的一个修改版，取名ollyice只是便于区分，其实质还是ollydbg,本站为大家提供的就是ollyice v1.10绿色中文版，软件已经绿色汉化，确保无毒，对中文的支持比较好。

一、ollydbg 的安装与配置

 ollydbg 1.10 版的发布版本是个 zip 压缩包，只要解压到一个目录下，运行 ollydbg.exe 就可以了。汉化版的发布版本是个 rar 压缩包，同样只需解压到一个目录下运行 ollydbg.exe 即可：

ollydbg 中各个窗口的功能如上图。简单解释一下各个窗口的功能，更详细的内容可以参考 tt 小组翻译的中文帮助：

反汇编窗口：显示被调试程序的反汇编代码，标题栏上的地址、hex 数据、反汇编、注释可以通过在窗口中右击出现的菜单 界面选项->隐藏标题 或 显示标题 来进行切换是否显示。用鼠标左键点击注释标签可以切换注释显示的方式。

寄存器窗口：显示当前所选线程的 cpu 寄存器内容。同样点击标签 寄存器 (fpu) 可以切换显示寄存器的方式。

信息窗口：显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。

数据窗口：显示内存或文件的内容。右键菜单可用于切换显示方式。

堆栈窗口：显示当前线程的堆栈。

要调整上面各个窗口的大小的话，只需左键按住边框拖动，等调整好了，重新启动一下 ollydbg 就可以生效了。

启动后我们要把插件及 udd 的目录配置为绝对路径，点击菜单上的 选项->界面，将会出来一个界面选项的对话框，我们点击其中的目录标签：

因为我这里是把 ollydbg 解压在 f:\ollydbg 目录下，所以相应的 udd 目录及插件目录按图上配置。还有一个常用到的标签就是上图后面那个字体，在这里你可以更改 ollydbg 中显示的字体。上图中其它的选项可以保留为默认，若有需要也可以自己修改。修改完以后点击确定，弹出一个对话框，说我们更改了插件路径，要重新启动 ollydbg。在这个对话框上点确定，重新启动一下 ollydbg，我们再到界面选项中看一下，会发现我们原先设置好的路径都已保存了。有人可能知道插件的作用，但对那个 udd 目录不清楚。我这简单解释一下：这个 udd 目录的作用是保存你调试的工作。比如你调试一个软件，设置了断点，添加了注释，一次没做完，这时 ollydbg 就会把你所做的工作保存到这个 udd 目录，以便你下次调试时可以继续以前的工作。如果不设置这个 udd 目录，ollydbg 默认是在其安装目录下保存这些后缀名为 udd 的文件，时间长了就会显的很乱，所以还是建议专门设置一个目录来保存这些文件。

另外一个重要的选项就是调试选项，可通过菜单 选项->调试设置 来配置：

新手一般不需更改这里的选项，默认已配置好，可以直接使用。建议在对 ollydbg 已比较熟的情况下再来进行配置。上面那个异常标签中的选项经常会在脱壳中用到，建议在有一定调试基础后学脱壳时再配置这里。

除了直接启动 ollydbg 来调试外，我们还可以把 ollydbg 添加到资源管理器右键菜单，这样我们就可以直接在 .exe 及 .dll 文件上点右键选择“用ollydbg打开”菜单来进行调试。要把 ollydbg 添加到资源管理器右键菜单，只需点菜单 选项->添加到浏览器，将会出现一个对话框，先点击“添加 ollydbg 到系统资源管理器菜单”，再点击“完成”按钮即可。要从右键菜单中删除也很简单，还是这个对话框，点击 “从系统资源管理器菜单删除 ollydbg”，再点击“完成”就行了。

ollydbg 支持插件功能，插件的安装也很简单，只要把下载的插件（一般是个 dll 文件）复制到 ollydbg 安装目录下的 plugin 目录中就可以了，ollydbg 启动时会自动识别。要注意的是 ollydbg 1.10 对插件的个数有限制，最多不能超过 32 个，否则会出错。建议插件不要添加的太多。

到这里基本配置就完成了，ollydbg 把所有配置都放在安装目录下的 ollydbg.ini 文件中。

二、基本调试方法

ollydbg 有三种方式来载入程序进行调试，一种是点击菜单 文件->打开 （快捷键是 f3）来打开一个可执行文件进行调试，另一种是点击菜单 文件- >附加 来附加到一个已运行的进程上进行调试。注意这里要附加的程序必须已运行。第三种就是用右键菜单来载入程序（不知这种算不算）。一般情况下我们选第一种方 式。比如我们选择一个 test.exe 来调试，通过菜单 文件->打开 来载入这个程序，ollydbg 中显示的内容将会是这样：

调试中我们经常要用到的快捷键有这些：

f2：设置断点，只要在光标定位的位置（上图中灰色条）按f2键即可，再按一次f2键则会删除断点。（相当于 softice 中的 f9）

f8：单步步过。每按一次这个键执行一条反汇编窗口中的一条指令，遇到 call 等子程序不进入其代码。（相当于 softice 中的 f10）

f7：单步步入。功能同单步步过(f8)类似，区别是遇到 call 等子程序时会进入其中，进入后首先会停留在子程序的第一条指令上。（相当于 softice 中的 f8）

f4：运行到选定位置。作用就是直接运行到光标所在位置处暂停。（相当于 softice 中的 f7）

f9：运行。按下这个键如果没有设置相应断点的话，被调试的程序将直接开始运行。（相当于 softice 中的 f5）

ctr+f9：执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停，常用于从系统领空返回到我们调试的程序领空。（相当于 softice 中的 f12）

alt+f9：执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。（相当于 softice 中的 f11）

现在我们开始正式进入破解。今天的目标程序是看雪兄《加密与解 密》第一版附带光盘中的 crackmes.cjb.net 镜像打包中的 cff crackme #3，采用用户名/序列号保护方式。原版加了个 upx 的壳。刚开始学破解先不涉及壳的问题，我们主要是熟悉用 ollydbg 来破解的一般方法。我这里把壳脱掉来分析，附件是脱壳后的文件，直接就可以拿来用。先说一下一般软件破解的流程：拿到一个软件先别接着马上用 ollydbg 调试，先运行一下，有帮助文档的最好先看一下帮助，熟悉一下软件的使用方法，再看看注册的方式。如果是序列号方式可以先输个假的来试一下，看看有什么反 应，也给我们破解留下一些有用的线索。如果没有输入注册码的地方，要考虑一下是不是读取注册表或 key 文件（一般称 keyfile，就是程序读取一个文件中的内容来判断是否注册），这些可以用其它工具来辅助分析。如果这些都不是，原程序只是一个功能不全的试用版，那要 注册为正式版本就要自己来写代码完善了。有点跑题了，呵呵。获得程序的一些基本信息后，还要用查壳的工具来查一下程序是否加了壳，若没壳的话看看程序是什 么编译器编的，如 vc、delphi、vb 等。这样的查壳工具有 peid 和 fi。有壳的话我们要尽量脱了壳后再来用 ollydbg 调试，特殊情况下也可带壳调试。下面进入正题：

我们先来运行一下这个 crackme（用 peid 检测显示是 delphi 编的），界面如图：

这个 crackme 已经把用户名和注册码都输好了，省得我们动手^_^。我们在那个“register now !”按钮上点击一下，将会跳出一个对话框：

好了，今天我们就从这个错误对话框中显示的“wrong serial, try again!”来入手。启动 ollydbg，选择菜单 文件->打开 载入 crackme3.exe 文件，我们会停在这里：

我们在反汇编窗口中右击，出来一个菜单，我们在 查找->所有参考文本字串 上左键点击：

当然如果用上面那个 超级字串参考＋ 插件会更方便。但我们的目标是熟悉 ollydbg 的一些操作，我就尽量使用 ollydbg 自带的功能，少用插件。好了，现在出来另一个对话框，我们在这个对话框里右击，选择“查找文本”菜单项，输入“wrong serial, try again!”的开头单词“wrong”（注意这里查找内容要区分大小写）来查找，找到一处：

在我们找到的字串上右击，再在出来的菜单上点击“反汇编窗口中跟随”，我们来到这里：

见上图，为了看看是否还有其他的参考，可以通过选择右键菜单查找参考->立即数，会出来一个对话框：

分别双击上面标出的两个地址，我们会来到对应的位置：

00440f79 |. ba 8c104400      mov edx,crackme3.0044108c              ; ascii "wrong serial,try again!"

00440f7e |. a1 442c4400      mov eax,dword ptr ds:[442c44]

00440f83 |. 8b00             mov eax,dword ptr ds:[eax]

00440f85 |. e8 dec0ffff      call crackme3.0043d068

00440f8a |. eb 18            jmp short crackme3.00440fa4

00440f8c |> 6a 00            push 0

00440f8e |. b9 80104400      mov ecx,crackme3.00441080              ; ascii "beggar off!"

00440f93 |. ba 8c104400      mov edx,crackme3.0044108c              ; ascii "wrong serial,try again!"

00440f98 |. a1 442c4400      mov eax,dword ptr ds:[442c44]

00440f9d |. 8b00             mov eax,dword ptr ds:[eax]

00440f9f |. e8 c4c0ffff      call crackme3.0043d068

我们在反汇编窗口中向上滚动一下再看看：

00440f2c |. 8b45 fc          mov eax,dword ptr ss:[ebp-4]

00440f2f |. ba 14104400      mov edx,crackme3.00441014              ; ascii "registered user"

00440f34 |. e8 f32bfcff      call crackme3.00403b2c                 ; 关键，要用f7跟进去

00440f39 |. 75 51            jnz short crackme3.00440f8c            ; 这里跳走就完蛋

00440f3b |. 8d55 fc          lea edx,dword ptr ss:[ebp-4]

00440f3e |. 8b83 c8020000    mov eax,dword ptr ds:[ebx+2c8]

00440f44 |. e8 d7fefdff      call crackme3.00420e20

00440f49 |. 8b45 fc          mov eax,dword ptr ss:[ebp-4]

00440f4c |. ba 2c104400      mov edx,crackme3.0044102c              ; ascii "gfx-754-ier-954"

00440f51 |. e8 d62bfcff      call crackme3.00403b2c                 ; 关键，要用f7跟进去

00440f56 |. 75 1a            jnz short crackme3.00440f72            ; 这里跳走就完蛋

00440f58 |. 6a 00 push 0

00440f5a |. b9 3c104400      mov ecx,crackme3.0044103c              ; ascii "crackme cracked successfully"

00440f5f |. ba 5c104400      mov edx,crackme3.0044105c              ; ascii "congrats! you cracked this crackme!"

00440f64 |. a1 442c4400      mov eax,dword ptr ds:[442c44]

00440f69 |. 8b00             mov eax,dword ptr ds:[eax]

00440f6b |. e8 f8c0ffff      call crackme3.0043d068

00440f70 |. eb 32            jmp short crackme3.00440fa4

00440f72 |> 6a 00            push 0

00440f74 |. b9 80104400      mov ecx,crackme3.00441080              ; ascii "beggar off!"

00440f79 |. ba 8c104400      mov edx,crackme3.0044108c              ; ascii "wrong serial,try again!"

00440f7e |. a1 442c4400      mov eax,dword ptr ds:[442c44]

00440f83 |. 8b00             mov eax,dword ptr ds:[eax]

00440f85 |. e8 dec0ffff      call crackme3.0043d068

00440f8a |. eb 18            jmp short crackme3.00440fa4

00440f8c |> 6a 00            push 0

00440f8e |. b9 80104400      mov ecx,crackme3.00441080              ; ascii "beggar off!"

00440f93 |. ba 8c104400      mov edx,crackme3.0044108c              ; ascii "wrong serial,try again!"

00440f98 |. a1 442c4400      mov eax,dword ptr ds:[442c44]

00440f9d |. 8b00             mov eax,dword ptr ds:[eax]

00440f9f |. e8 c4c0ffff      call crackme3.0043d068

大家注意看一下上面的注释，我在上面标了两个关键点。有人可能要问，你怎么知道那两个地方是关键点？其实很简单，我是根据查看是哪条指令跳到 “wrong serial,try again”这条字串对应的指令来决定的。如果你在 调试选项->cpu 标签中把“显示跳转路径”及其下面的两个“如跳转未实现则显示灰色路径”、“显示跳转到选定命令的路径”都选上的话，就会看到是从什么地方跳到出错字串处 的：

我们在上图中地址 00440f2c 处按 f2 键设个断点，现在我们按 f9 键，程序已运行起来了。我在上面那个编辑框中随便输入一下，如 ccdebuger，下面那个编辑框我还保留为原来的“754-gfx-ier-954”，我们点一下那个“register now !”按钮，呵， ollydbg 跳了出来，暂停在我们下的断点处。我们看一下信息窗口，你应该发现了你刚才输入的内容了吧？我这里显示是这样：

堆栈 ss:[0012f9ac]=00d44db4, (ascii "ccdebuger")

eax=00000009

上面的内存地址 00d44db4 中就是我们刚才输入的内容，我这里是 ccdebuger。你可以在 堆栈 ss:[0012f9ac]= 00d44db4, (ascii "ccdebuger") 这条内容上左击选择一下，再点右键，在弹出菜单中选择“数据窗口中跟随数值”，你就会在下面的数据窗口中看到你刚才输入的内容。而 eax=00000009 指的是你输入内容的长度。如我输入的 ccdebuger 是9个字符。如下图所示：

现在我们来按 f8 键一步步分析一下：

00440f2c |. 8b45 fc          mov eax,dword ptr ss:[ebp-4]           ; 把我们输入的内容送到eax，我这里是“ccdebuger”

00440f2f |. ba 14104400      mov edx,crackme3.00441014              ; ascii "registered user"

00440f34 |. e8 f32bfcff      call crackme3.00403b2c                 ; 关键，要用f7跟进去

00440f39 |. 75 51            jnz short crackme3.00440f8c            ; 这里跳走就完蛋

当我们按 f8 键走到 00440f34 |. e8 f32bfcff      call crackme3.00403b2c 这一句时，我们按一下 f7 键，进入这个 call，进去后光标停在这一句：

我们所看到的那些 push ebx、 push esi 等都是调用子程序保存堆栈时用的指令，不用管它，按 f8 键一步步过来，我们只关心关键部分：

00403b2c /$ 53               push ebx

00403b2d |. 56               push esi

00403b2e |. 57               push edi

00403b2f |. 89c6             mov esi,eax                          ; 把eax内我们输入的用户名送到 esi

00403b31 |. 89d7             mov edi,edx                          ; 把edx内的数据“registered user”送到edi

00403b33 |. 39d0             cmp eax,edx                          ; 用“registered user”和我们输入的用户名作比较

00403b35 |. 0f84 8f000000    je crackme3.00403bca                 ; 相同则跳

00403b3b |. 85f6             test esi,esi                         ; 看看esi中是否有数据，主要是看看我们有没有输入用户名

00403b3d |. 74 68            je short crackme3.00403ba7           ; 用户名为空则跳

00403b3f |. 85ff             test edi,edi

00403b41 |. 74 6b            je short crackme3.00403bae

00403b43 |. 8b46 fc          mov eax,dword ptr ds:[esi-4]         ; 用户名长度送eax

00403b46 |. 8b57 fc          mov edx,dword ptr ds:[edi-4]         ; “registered user”字串的长度送edx

00403b49 |. 29d0             sub eax,edx                          ; 把用户名长度和“registered user”字串长度相减

00403b4b |. 77 02            ja short crackme3.00403b4f           ; 用户名长度大于“registered user”长度则跳

00403b4d |. 01c2             add edx,eax                          ; 把减后值与“registered user”长度相加，即用户名长度

00403b4f |> 52               push edx

00403b50 |. c1ea 02          shr edx,2                            ; 用户名长度值右移2位，这里相当于长度除以4

00403b53 |. 74 26            je short crackme3.00403b7b           ; 上面的指令及这条指令就是判断用户名长度最少不能低于4

00403b55 |> 8b0e             mov ecx,dword ptr ds:[esi]           ; 把我们输入的用户名送到ecx

00403b57 |. 8b1f             mov ebx,dword ptr ds:[edi]           ; 把“registered user”送到ebx

00403b59 |. 39d9             cmp ecx,ebx                          ; 比较

00403b5b |. 75 58            jnz short crackme3.00403bb5          ; 不等则完蛋

根据上面的分析，我们知道用户名必须是“registered user”。我们按 f9 键让程序运行，出现错误对话框，点确定，重新在第一个编辑框中输入“registered user”，再次点击那个“register now !”按钮，被 ollydbg 拦下。因为地址 00440f34 处的那个 call 我们已经分析清楚了，这次就不用再按 f7 键跟进去了，直接按 f8 键通过。我们一路按 f8 键，来到第二个关键代码处：

00440f49 |. 8b45 fc          mov eax,dword ptr ss:[ebp-4]          ; 取输入的注册码

00440f4c |. ba 2c104400      mov edx,crackme3.0044102c             ; ascii "gfx-754-ier-954"

00440f51 |. e8 d62bfcff      call crackme3.00403b2c                ; 关键，要用f7跟进去

00440f56 |. 75 1a            jnz short crackme3.00440f72           ; 这里跳走就完蛋

大家注意看一下，地址 00440f51 处的 call crackme3.00403b2c 和上面我们分析的地址 00440f34 处的 call crackme3.00403b2c 是不是汇编指令都一样啊？这说明检测用户名和注册码是用的同一个子程序。而这个子程序 call 我们在上面已经分析过了。我们执行到现在可以很容易得出结论，这个 call 也就是把我们输入的注册码与 00440f4c 地址处指令后的“gfx- 754-ier-954”作比较，相等则 ok。好了，我们已经得到足够的信息了。现在我们在菜单 查看->断点 上点击一下，打开断点窗口（也可以通过组合键 alt+b 或点击工具栏上那个“b”图标打开断点窗口）：

为什么要做这一步，而不是把这个断点删除呢？这里主要是为了保险一点，万一分析错误，我们还要接着分析，要是把断点删除了就要做一些重复工作了。还是先禁 用一下，如果经过实际验证证明我们的分析是正确的，再删不迟。现在我们把断点禁用，在 ollydbg 中按 f9 键让程序运行。输入我们经分析得出的内容：

用户名：registered user

注册码：gfx-754-ier-954

点击“register now !”按钮，呵呵，终于成功了：

快捷键命令

这些快捷键命令原版ollydbg中没有，是ollyice后加上去的，相信会大大提高操作的方便性。

1).二进制复制/粘贴快捷键
反汇编窗口：shift+c/shift+v
数据窗口：shift+c/shift+v
注意：数据窗口中，shift+v时，不必选择块大小，会将剪粘板的数据全部粘贴上去。

2).查看数据
push a480033 //如果按回车键，则数据窗口中显示a480033数据,此行按shift+回车键，即可跳到a480033地址;
mov eax,401000 //此行按回车，则数据窗口中显示401000 数据
mov eax,[401000] //此行按回车，则数据窗口中显示401000 数据
mov [ebp-4], esp //此行按回车，则数据窗口中显示ebp-4的值（注意eip必须指向当前行）
mov eax, [esp+10]//此行按回车，则数据窗口中显示esp+10的值（注意eip必须指向当前行）

3).数据窗口查看数据 （来源于hexer）
数据窗口：
00406000 00 10 40 00 00 00 00 00 00 00 00 00 ca 2e 40 00 .@.........?@.
^
光标移到“00 10 40 00”第一字节00处，按回车，反汇编窗口显示401000；shift+回车，数据窗口显示401000

4).堆栈窗口 （来源于hexer）
0012ff44 00401d8a //按回车，反汇编窗口显示0401d8a；shift+回车，数据窗口显示0401d8a
0012ff48 00000000

5).数据窗口选择数据显示
当光标在数据窗口移动时，会显示出光标起始地址、结束地址，以及选中的块大小。

6).数据窗口切换到代码窗口
00406000 00 12 40 00 00 00 00 00 00 00 00 00 ca 2e 40 00 .@.........?@.
^
光标移到“00 12 40 00”第一字节00处，按ctrl＋双击鼠标，则反汇编窗口显示光标所在地址，即00406000开始的代码

7).反汇编窗口或数据窗口取当前地址
快捷键：ctrl+x
例如：
004091c0 push ebp
004091c1 mov ebp, esp
004091c3 push -1 //此行按快捷键ctrl+x ，则将地址004091c3复制到剪粘板里
数据窗口同样操作。
0040dd40 55 8b ec 83 ec 08 53 56 57 55 fc 8b 5d 0c 8b 45 u

快捷键命令增加：kanxue
感谢hexer,code_inject给与的帮助与提示！

ollydbg技巧

下文中od是ollydbg的简称。

q: od中如何运行到光标所在处？
a: 将光标移到目标位置，按f4.

q: 如何用od修改可执行程序？
a：直接在反汇编代码区更改,这时可以使用汇编代码更改,然后选中修改后的汇编代码，右击-->复制到可执行文件-->保存文件.

q:od中的代码乱码，如：
004365e0 >db 68 ; char 'h'
004365e1 >db a4
004365e2 >db 7a ; char 'z'
004365e3 >db e5
004365e4 >db b8
004365e5 >db e8
004365e6 >db bb

a:od右键，"分析/从模板中删除分析"，如不行，按ctrl+a重新分析


q:od为什么删除了断点，重新加载的时候，这些断点都会重新出现
a:设置ollydbg.ini，将配制文件里改成如下：backup udd files=1 (by kanxue)

q：如何还原到od到分析前的状态?
a：右键 分析/从模块中删除扫描

q：什么是udd？
a：ollydbg 把所有程序或模块相关的信息保存至单独的文件中，并在模块重新加载时继续使用。这些信息包括了标签、注释、断点、监视、分析数据、条件等等

q:od的数据窗口显示一个下划线，是什么意思？
a:重定位加下划线［underline fixups］，几乎所有的dll和一部分程序都包含重定位，这样就可以在内存中的不同基地址加载模块了。当该项开启时，cpu反汇编窗口或cpu数据窗口中的重定位地址都将添加下划线。（xing_xsz）

q：如果已经知道某一call的具体作用,能否把后面所有相同的call都改成函数名形式?
a：比如 call 110000 此中已经知道110000是一个核心计算
则如下操作,让光标停在call 110000 这个语句上,按回车键
会跳到110000的地址上去显示,之后让光标停在110000上,按
shift 和; (分号) 其实就是完成一个:(冒号)的动作,输入
名称,这回所有的调用110000处,都会显示call 你刚才输入的
名称了.(nig回答)

q：用od调试一些加壳程序，如themida等，可能你会发现下断后（包括硬件断点），程序跑到断点时，od会出现假死现像。
a：打开od配置文件ollydbg.ini，你会发现：restore windows= 123346 //这个restore windows可能会是一个**的值
现在只需要将restore windows＝0，重新用od调试程序，假死问题就消失了。 (kanxue)

q:ollydbg中如何调用pdb文件？
a:
pdb文件是vc++调试编译生成的文件。由编译器直接生成。
pdb文件要配合源文件使用。不同的源文件pdb文件不同。
用od装入可执行文件后，点击cpu窗口中的注释段可出现源码。
不过不是所有的源码都可以显示的。vc++6.0以下都可以显示。
还有一种不显示的原因是缺少路径。点击od主菜单的[查看]->[源文件]
如果[源码]段出现(缺少)字样的话，说明此路径的源码是看不了的。设置正确的路径就可以了。
（nantz回答）

q：运行a.exe，其会调用b.exe，如果用od再附加b.exe，od会死掉
a：
1.od菜单，设置od为即时调试器；
2.将b.exe的入口改成cc，即int 3指令，同时记下原指令
3.运行a.exe，其调用b.exe，会导致异常，od会自动启动加载b.exe，此时你将int 3指令恢复原指令。
4.到这步，你己可以任意调试b.exe了(kanxue)

q:用ollydbg调试的时候，断住kernel32.dll系统函数，然后”执行到用户代码“，就可以回到被调程序的代码。但有时候却回不来，不知道这又是为什么？
a:
多半是杀毒软件（如卡巴对loadlibrarya）hook api入口代码进入ring 0了，ollydbg不能单步跟踪，这种情况下只要看堆栈返回地址，在返回地址上下端点，f9执行就可以了。（cyclotron回答）