思维大哥,进来一下,求教个问题.....如何下条件断点

lybs8698

近来发现一个游戏 剑网3 加载OD后,用
       Bp send
          Bp WSASend
          Bp sendto
          Bp WSASendto
都下断了,发现一下段游戏就断下,根本无法获取下断后的数据,请问这是怎么回事,要如何解决?有人说下条件断点,那么能指点一下如何下条件断点

果粒

下断后连续2次ctrl+f9，看看堆栈是什么数据

小小思维

可能是心跳包吧~~可以尝试过滤心跳包~~~

小小思维

如何过滤心跳包，这个很简单，举例说明下

0012FB0C   00436635  5fC.  /CALL 到 send 来自 00436630
0012FB10   00000448  H..  |Socket = 448
0012FB14   028A9040  @悐   |Data = 028A9040
0012FB18   00000007  ...  |DataSize = 7
0012FB1C   00000000  ....  \Flags = 0

双击下12FB0C处出现如下箭头：

$ ==>    > 00436635  5fC.  /CALL 到 send 来自 00436630
$+4      > 00000448  H..  |Socket = 448
$+8      > 028A9040  @悐   |Data = 028A9040
$+C      > 00000007  ...  |DataSize = 7
$+10     > 00000000  ....  \Flags = 0

如何下条件断点，DataSize=7 是封包数据大小，假设：7是心跳包数据大小

那么可以这样过滤：

[esp+c]!=7  

这句的意思是当[esp+c]里面的数据不等于7的时候断下。

可能你还会考虑，在那里下这个条件断点：

可以ctrl+g 搜send，搜到的地方 shift+f2 填写上面的过滤条件就哦了~~~

lybs8698

回复 4# 小小思维


    谢谢指点

用你的方法测试了以下   每次断下的都不一样  心跳包的数据有好几个   
DataSize = 49   DataSize = 41 DataSize = C  DataSize = B 这样怎么过滤

yoyo00

[esp+c]!=7 &&[esp+c]!=49 &&[esp+c]!=41&&[esp+c]!=0xC &&[esp+c]!=0xB