部分代码只能在OD反汇编窗口最顶上找到原因

我相信不只是我遇见过这类问题！只是我遇到问题比较喜欢找问题原因，大概情况是这样，今天在学习恒大的第二期视频教程第三课《DIY易语言》的时候发现了一个问题，那就是当我在用一段代码，覆盖另外一段代码的时候，某些代码居然不见了，但是用Ctrl+G去找的时候又能够找到，但是仅仅只能够出现在反汇编窗口顶部，一旦离开顶部，又不见了！可能描述的不是很清楚，如果有大佬有具体的详细说法，欢迎指正！下面具体上图片加以说明：

这是第二期第三课恒大的教程，这个小软件是我根据教程自己写的！但是我还是发现了和恒大原教程里面的不同之处，比如这个信息框原教程就要少如图中所示的两句代码，就是mov和call，我问了一下恒大，这可能就是和易语言版本问题，我用的是5.8，他的教程是几年前的，可能版本低一些！！
好了，进入正题，将这一段“载入成功”的代码复制粘贴到下面的变量A和变量B的代码段内，覆盖原本变量A和变量B的代码（如果没看懂的，详细看恒大第二期第三课内容），如图：


（这一段我多复制了mov和call，虽然版本不同，但是开始处还是push 0x***，这也是我后来才发现的，但是本文的重点不是这里，说明一下就行了！）这是原变量A和变量B的代码，注意看最后的结束创建子程序结束的代码mov esp,ebp pop ebp和retn

看见了吧？覆盖了以后，变量A和变量B代码段的子程序结束代码mov esp,ebp pop ebp和retn不见了！！但是神奇的事情发生了，直接Ctrl+G搜索原本mov esb,ebp的内存地址，又能够搜索到！一旦但是一旦离开反汇编窗口的顶部，又会消失不见，如下几幅图所示：


如上图所示的问题，问了一下恒大，但是也描述的不是很清楚，他又在忙！后来我问了一下公司的同事，他给出的回答是，因为程序在电脑中，都是以二进制的形式运行，在OD中是以16进制来展示！即汇编语言！这里A变量和B变量的段空间原本代码写好了是既定的代码，所以，OD在分析的时候显示正常。但是，当我粘贴进来其他的代码，覆盖了段空间内原本的代码以后，导致段空间内的地址段发生了变化，即汇编语言变化，所以导致一部分代码OD无法直接解析到，但是当我们搜索指定的内存地址时，没有被改变的代码还是可以显示出来，一旦离开该位置，按照OD解析出来的内容显示时，又会不见。所以归根结底就是因为段空间内的内容产生了变化，打破了段空间内的平衡，问题就是这样产生了!但是当在复制过来的这一段“加载成功”信息的代码尾部加上结束语句mov esp,ebp pop ebp和retn时，下面的代码和复制过来的代码全部正常解析显示！我个人觉得这种解释可以解释的通，我同事也另外给我举了一个例子，也证实了这一说法！个人觉得应该也是这样，如果有哪位大佬知道具体原因或者有更好的理解，欢迎指正！

下午有事，没时间和你多聊。看过后，其实就是OD分析代码，形成了错位分析。哪怕你滚动鼠标滚轮，他都会显示代码，这种情况可以按Ctrl+A或将代码用90隔开即可。

努力学习
仔细研究
支持恒大

Shark恒 发表于 2018-9-14 22:22
下午有事，没时间和你多聊。看过后，其实就是OD分析代码，形成了错位分析。哪怕你滚动鼠标滚轮，他都会显示 ...

感谢，后来我仔细再次研究了一下，不是OD分析的问题，我发现了一个小问题，就是因为我再易语言不是5.8版本吗？信息框内容多了两行代码，一个mov和一个call，这个具体作用不知道是干嘛的，但是开始位置还是从push开始的，所以我多复制了这两行，导致OD分析错位，用Ctrl+A也没用，试了！一旦离开首行位置还是会消失！其实这种情况也不是没法解决，换个思路就好了，既然这一段代码我们要覆盖掉没用，直接nop再填充就好了！Nop后为空，也不影响程序本身运行！

Shark恒 发表于 2018-9-14 22:22
下午有事，没时间和你多聊。看过后，其实就是OD分析代码，形成了错位分析。哪怕你滚动鼠标滚轮，他都会显示 ...

恒大，比如这种，它也会消失不见，这个程序是加了se壳的，也是只能够显示在反汇编窗口第一行，用Ctrl+A以后，直接变成啥都看不见的情况，必须从模块中删除分析才能够看得见！
当我Ctrl+A以后就这样了，必须从模块中删除分析才行：

W_H_I 发表于 2018-9-15 21:33
恒大，比如这种，它也会消失不见，这个程序是加了se壳的，也是只能够显示在反汇编窗口第一行，用Ctrl+A以 ...

把代码段当做数据段分析了

Shark恒 发表于 2018-9-15 22:07
把代码段当做数据段分析了

有办法解决吗？

W_H_I 发表于 2018-9-16 00:35
有办法解决吗？

你不是已经解决了吗？

Shark恒 发表于 2018-9-16 10:08
你不是已经解决了吗？

嗯嗯，这次是因为我多复制了两行的问题，但是也有遇到过加壳的程序，就是我给你截图得这种，这种没法弄得

W_H_I 发表于 2018-9-17 09:02
嗯嗯，这次是因为我多复制了两行的问题，但是也有遇到过加壳的程序，就是我给你截图得这种，这种没法弄得

我看到你的截图了，我也看到你后面说到了解决方案。