【新手求助】在对dump3.exe进行操作时，OD遇到问题

K85

我跟着教程学习的时候，操作OD时遇到了一些问题。请求各位大神帮助
操作系统是win8，没dump的作业可以打开，dump过的作业没法打开，但是用LordPE关闭ASLR后，就可以打开了

---

我是这样操作的。目前已经完成到了dump3.exe


先把程序拖到OD里，然后用Ctrl+G，把5个断点都下了


之后按一次F9运行，断到ShellExecuteW，由于这个广告已经被C32Asm搞定了，所以再次F9运行程序
断到WinExec。在堆栈窗口里，用Enter键跳转到代码行，把这个call和它push进来的参数一起用nop填充掉。
然后。"复制到可执行文件"→"选择"


到这里我跟着视频做，也不打算直接把这次修改"保存文件"出去

接着继续F9，断到了CreateProcessA。然后同样Enter跳转进去，对call和push进行nop填充


之后问题来了，这次多了一个"选择所有"


我点了"选择"。然后弹出了这个

我又点了"是"。之后点"保存文件"，弹出了这个窗口

这个保存和之前不一样，以前保存出去都是xxx.exe文件，但这次是xxx.dll。
而且默认的保存路径被定在了系统文件夹里，我就赶紧取消了操作，不敢乱保存。

---

我想问一下各位大神：
①F9运行程序是不是直接启动程序，然后如果程序碰到了断点，被暂停后，再次按F9可以让程序继续运行？
②是不是我每次nop填充一次后，都要立即保存成.exe文件，然后把新的exe文件载入OD
③"复制到可执行文件"的"选择"和"全部选择"有什么区别
④文件窗口中，默认选中的这些，如果不小心点掉，有没有关系。到时候"保存文件"出去会不会有影响。如下图

K85

我测试了一下。
如果是两个操作，每完成一个操作，就保存一次.exe文件，就不会出现这种情况。

Hmily

①可以。
②不是，可以一起保存。
③保存一个修改地方，和保存所有修改的区别。
④没关系，你可以重新打开。

最后说下你修改那个重定位问题，修改的地方不对了，不要修改系统dll，那是无法保存的，你应该修改调用系统dll的那个exe。