这段隐藏在最后，看似不起眼的操作，正是 Setmembreakpoint 函数的核心。首先，它
需要判断一下 0x4D5A5C 所保存的值是否为 3，为 3 说明被调试程序处于运行状态，则调用
0x00419034处的函数。若不为 3，则直接返回。说明只有被调试程序处于运行状态（即按了
F9 之后），OD 才会真正设置内存断点。我们接着看一下 0x00419034 处的函数。这个函数出
于安全考虑，做了许多检测，所以我们只挑最重要的看：   
00419189  |> \8B3D 4C814D00 |mov     edi, dword ptr [4D814C]
0041918F  |>  8B45 00       |mov     eax, dword ptr [ebp]
00419192  |.  8B15 685A4D00 |mov     edx, dword ptr [4D5A68]
00419198  |.  C1E0 02       |shl     eax, 2
0041919B  |.  81C0 58814D00 |add     eax, 4D8158
004191A1  |.  50            |push    eax
004191A2  |.  57            |push    edi
004191A3  |.  56            |push    esi
004191A4  |.  53            |push    ebx
004191A5  |.  52            |push    edx
004191A6  |.  FF15 185A4D00 |call    dword ptr
[4D5A18]                       ;  kernel32.VirtualProtectEx
004191AC  |.  85C0          |test    eax, eax
004191AE  |.  74 2E         |je      short
004191DE                           ;  004191DE

出现了！VirtualProtectEx这是个跨进称设置内存属性的API，一共有五个参数，最值
得我们关系的是它的第四个参数 NewProtect，用来设置内存的保护属性。由于参数的入栈
顺序是从右到左，所以是第二个压栈的参数edi。经过比较，可以发现，如果设置了内存访
问断点，则 edi为 0x1，如果设置了内存写入断点，则edi为 0x20。什么意思呢？我们查下
SDK 的定义，就可以发现：
 #define PAGE_NOACCESS          0x01       
#define PAGE_EXECUTE_READ      0x20     

也就是说，如果是设置了内存访问断点，则内存的保护属性就会被设置为不允许访问，
因此，一旦访问了这块内存，就会触发页面异常。如果是设置了内存写入断点，则内存的保
护属性就会被设置为只运行读和执行，如果一旦写入这块内存，同样也会触发页面异常，这
样，OD 就可以通过捕捉异常来获得程序的控制权。这也就是内存断点的原理。