vs2010的栈  report.exe!Show()  行 13 + 0x3 字节 C++  report.exe!wmain(int argc, wchar_t * * argv)  行 34 C++  report.exe!__tmainCRTStartup()  行 552 + 0x19 字节 C  report.exe!wmainCRTStartup()  行 371 C  kernel32.dll!761e3677()    [下面的框架可能不正确和/或缺失，没有为 ...

你对这个怀疑的地址下一个访问断点,看谁访问,不一这是我说的这样,现在反调试方法这么多,硬件断点行不行你试了就知道了,

1怀疑程序使用SetUnhandledExceptionFilter保护自身的处理程序,你可以跟进去看一下他的异常处理函数写的啥2.你说有很多自校验这个无法理解,如果是int 3断点的校验,10个人有10个不同的方法 无非就是单步比对人码中是不是有CC,有就和谐, 随机取一段地址做HASH,如果不对,和谐之 多说一句,做分析还是用IDA好,WINDBG分析要死人的希望对楼上有用

019adb84 769acfdc 00150000 00000000 0c84ae30 ntdll!RtlFreeHeap+0x44e楼主看下RtlFreeHeap(Heap,FLAG,Address) = RtlFreeHeap(00150000,000000,0c84ae30)看样子这个栈还是可信的,出现在进程堆150000的c84ae30上发生了释放错误,我猜测,可能是二次释放造成的,变体变量中的字符串成员估计是BSTR字符串出现的问题,还有一点楼主你自己的程序把符号挂好啊.以上自己的一点想法,希望有用

OH!,谢谢张老师回复,我太粗心了没看到是一个接间CALL, call    dword ptr [shlwapi!_imp__RegQueryValueExW (77f4101c)]执行了下面一段0:000> dd 77f4101c77f4101c  0006a77a 0006a78e 0006a7a0 0006a7b277f4102c  0006a7c6 0006a7d6 0006a7e4 0006a7f277f4103c  0006a802 0006a816 0006a828 0006a83877f4104c  0006a846 0006a858 0006a86a 0006a87a77f4105c ...

 事情是这样的,我今天一不小心点开了QQ空间,很自然的IE6启动了,没想到一打开就挂了,WINDBG自动挂上去后看了一下栈回朔和EIP,初步感觉是栈缓冲区溢出了,EIP被指向了一个无效的地址,但我看了一下出事的地点ESP中的返回值是很正常的也就是没被破坏,因为这个情况不是经常出现,可能一个月出现一次吧,所以重新下断点观察是不可能了,我又想到了观察一下参数,于是跟进了shlwapi!_imp__RegQueryValueExW这个函数,可是这个函数好象是混淆了,论坛的哥哥姐姐谁帮看看啊!!  好像传不了附件@.@这是栈信息  0:000> kbChildEBP RetAddr  Args to Child       ...