作为一款流行的动态，OD 的成功离不开断点。可以说，断点成就了 OD，不难想象，如

果在调试过程中，下的断点全部失效了，那么 OD 就武功全废了。在前面的文章里，我曾介

绍 OD有三大断点：int3断点、硬件断点和内存断点。关于前面两种断点，我已经写过检测

方法，今天就来分析一下，内存断点的检测方法。

要检测，首先，我们要了解内存断点的原理。知己知彼才能百战百胜，所以，我们还是

从逆向 OD着手。OD通过调用 Setmembreakpoint函数来下内存断点，反汇编代码如下：

004192D8 >/$  55            push    ebp

004192D9  |.  8BEC          mov     ebp, esp

004192DB  |.  53            push    ebx

004192DC  |.  56            push    esi

004192DD  |.  57            push    edi

004192DE  |.  833D 38814D00>cmp     dword ptr [4D8138], 0

004192E5  |.  8B7D 10       mov     edi, dword ptr [ebp+1>

004192E8  |.  8B75 0C       mov     esi, dword ptr [ebp+C>

004192EB  |.  8B5D 08       mov     ebx, dword ptr [ebp+8>

004192EE  |.  0F85 99000000 jnz     0041938D              ;  0041938D

004192F4  |.  833D D8364D00>cmp     dword ptr [4D36D8], 2

004192FB  |.  0F84 8C000000 je      0041938D              ;  0041938D

00419301  |.  56            push    esi

00419302   |.  E8 41870400   call    00461A48              ;

_Findmemory

00419307  |.  59            pop     ecx

00419308  |.  81FE 00000080 cmp     esi, 80000000

0041930E  |.  72 24         jb      short 00419334        ;  00419334

00419310  |.  6A 14         push    14                    ; /Style =

MB_YESNO|MB_ICONHAND|MB_APPLMODAL

00419312  |.  68 CA224B00   push    4B22CA                ; |Title =

"Memory breakpoint in system area"

00419317  |.  68 2E224B00   push    4B222E                ; |Text = "You

are going to set memory breakpoint in system area. This breakpoint may freeze

Windows or cause system crash. Do you really want to set this breakpoint?"

...

函数比较长，只截取一部分，可以看出，函数首先是判断内存断点的位置，如果是系统

空间、资源段以及栈空间，则会弹出错误提示框。接着还做了些工作，例如填写了一个内存

断点的结构体，限于篇幅，就不一一展开分析了，下面我们直接来看设置内存断点最关键的

操作：

0041940E  |> \833D 5C5A4D00>cmp     dword ptr [4D5A5C], 3

00419415  |.  75 05         jnz     short

0041941C                            ;  0041941C

00419417  |.  E8 18FCFFFF   call

00419034                                  ;  00419034

0041940E  |> \833D 5C5A4D00>cmp     dword ptr [4D5A5C], 3