od给notepad++字符串下内存断点断不下来

villadream

好久没弄POJIE了，今天想恢复学习一下在win10 64位系统上用OD1.1版来调试32位的NOTEPAD++，程序加载并正常运行后，点击'ABOUT'菜单，记下几个字符串：



在内存中查找这几个字符：



，下内存访问断点:


结果怎么也断不下来，求指点

xianyude123

没有访问就不会断下

feitian666

这个是好东西

冥界3大法王

我用x32dbg测试了一下，直接从模块最上面搜索到两个内存中匹配的
再设内存访问 或 读取（重复设置），一直处于断到中

比较科学的方法是从窗口容器、标题。。。从上向下，一级级的来断，这样符合加载顺序。不一定非得设内存断点。

villadream

xianyude123 发表于 2025-7-29 20:52
没有访问就不会断下

唯一存储地址

villadream

冥界3大法王 发表于 2025-7-30 10:21
我用x32dbg测试了一下，直接从模块最上面搜索到两个内存中匹配的
再设内存访问 或 读取（重复设置），一直 ...

感谢大佬，我只是想再熟悉一下通过这个方法下断。后面找到原因了：程序运行后就断不了，程序加载完运行前下断就可以。有点神奇。

还有，x32、x64dbg对中文字符串支持不好，会显示乱码，比如我用x64dbg-->notepad



内存模块搜索关键字，使用UNICODE搜，

内存模块搜索

到内存窗口中不管怎么换UTF8,UNICODE,GB2313编码,都是乱码，



x64dbg_tol插件也只能在字符串参考中能显示中文，有时候还找不到中文！不懂是不是我的方法不对。。。

冥界3大法王

villadream 发表于 2025-7-30 12:35
感谢大佬，我只是想再熟悉一下通过这个方法下断。后面找到原因了：程序运行后就断不了，程序加载完运行前 ...

1.HEX区，右击编码切换中必有几种符合，能显示出来就不乱码了，需要耐心点慢慢试，其实它等价WinHEX中内存搜索字符串，你会发现也有一个长长的编码切换。
2.前年吧，自从我知道有个微软网站上面列出各种语言编码，外加又会了Delphi编写x64dbg插件,
就写了个插件穷举所有证明我的猜想，也就得到1中提到的“必有几种符合”（16进制特征码一样一样的，但编码名不一样）
3.x64dbg编码切换原生的需要按下“确定”，方可再行显示字符，除非是自己编译的版本则不需要“按下确定”，那叫一个“爽”，带着语音和提醒。

冥界3大法王

找到原因了，其实它调用的是winver.exe，还好开了灵识，差点被楼主带沟里去，仔细琢磨了下，顿悟了。

这里你可以用Process Monitor抓一下进程就知道调用顺序，我所言不虚了。






看到没？

冥界3大法王

纠正一下：





是上面WinHEX中的那个字符串往上一点出现的那个模块名，同时也是抓到线程中出现的那个模块名里才是真正有该字符串地方。

sdqfjlp

学习啦。共同研究。