OllyDbg使用教程
一、工具栏
各种窗口切换
1.日志窗口(L):
2.模块窗口(E):查看每个模块的内存基址
3.内存窗口(M):查看每一个模块的段,所占用的内存区域
4.线程窗口(T):线程信息
5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息
6.句柄(H):
7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要
8.补丁窗口(/):
9:堆栈窗口(K):可以查看调用堆栈,调试时堆栈回溯—很重要
10.断点窗口(B):所有的F2断点都显示在这里
11.参考( R):比如如果你显示了参考字符串,可以在这个窗口找到
12.run跟踪窗口(…):
二、如何开始调试
1、直接调试:
拖拽方式:直接把文件拖拽到OD打开
菜单栏-文件-打开
2、附加调试:
可以调试正在运行的程序
3、设置为默认的调试器:
在程序崩溃的时候,能够接管程序,调试错误
4、调试DLL文件:
Dll一般不是作为独立的程序运行,所以也不能执行
OD能够独立的调试DLL,OD自己运行了一个程序,程序使用LoadLibrary加载DLL,然后可以调试DLL
5、OD主界面:
主要分为四部分:反汇编窗口、寄存器窗口、内存窗口、堆栈窗口
数据窗口支持查看各种类型的数据:
常用的几种形式:
十六进制 +ASC或者UNICODE的方式
长整型中的地址的形式(识别IAT比较明确的形式)
反汇编形式:
软件功能
1、启动
您可以采用命令行的形式指定可执行文件、也可以从菜单中选择,或直接拖放到OllyDbg中,或者重新启动上一个被调试程序,或是挂接[Attach]一个正在运行的程序。该软件支持即时调试,根本不需要安装,可直接在软盘中运行!
2、线程
该软件(od反汇编工具)可以调试多线程程序。因此您可以在多个线程之间转换,挂起、恢复、终止线程或是改变线程优先级。并且线程窗口将会显示每个线程的错误(就像调用 GETLASTERROR 返回一样)。
3、调试DLLs
您可以利用O该软件调试标准动态链接库(DLLs)。该软件会自动运行一个可执行程序。这个程序会加载链接库,并允许您调用链接库的输出函数。
4、源码级调试
该软件(od反汇编工具)可以识别所有 Borland 和 Microsoft 格式的调试信息。这些信息包括源代码、函数名、标签、全局变量、静态变量。有限度的支持动态(栈)变量和结构。
5、代码高亮
该软件(od反汇编工具)的反汇编器可以高亮不同类型的指令(如:跳转、条件跳转、入栈、出栈、调用、返回、特殊的或是无效的指令)和不同的操作数(常规[general]、FPU/SSE、段/系统寄存器、在栈或内存中的操作数,常量)。您可以定制个性化高亮方案。
5、名称
该软件(od反汇编工具)可以根据 Borland 和 Microsoft 格式的调试信息,显示输入/输出符号及名称。Object 扫描器可以识别库函数。其中的名称和注释您可任意添加。如果DLL中的某些函数是通过索引号输出的,则您可通过挂接输入库[import library]来恢复原来的函数名称。不仅如此,该软件还能识别大量的常量符号名(如:窗口消息、错误代码、位域[bit fields]…)并能够解码为已知的函数调用。
6、已知函数
该软件(od反汇编工具)可以识别 2300 多个C 和Windows API 中的常用函数及其使用的参数。您可以添加描述信息、预定义解码。您还可以在已知函数设定 Log断点并可以对参数进行记录。
7、函数调用
该软件(od反汇编工具)可以在没有调试信息或函数过程使用非标准的开始部分[prolog]和结尾部分[epilog]的情况下,对递归调用进行回溯。
8、配置
有多达百余个选项用来设置OllyDbg 的外观和运行。
数据格式:该软件的数据窗口能够显示的所有数据格式:HEX、ASCⅡ、UNICODE、 16/32位有/无符号/HEX整数、32/64/80位浮点数、地址、反汇编(MASM、IDEAL或是HLA)、PE文件头或线程数据块。
9、运行环境
该软件(od反汇编工具)可以以在任何采用奔腾处理器的 Windows 95、98、ME、NT 或是 XP(未经完全测试)操作系统中工作,但我们强烈建议您采用300-MHz以上的奔腾处理器以达到更好效果。还有,该软件是极占内存的,因此如果您需要使用诸如追踪调试[Trace]之类的扩展功能话,建议您使用128MB以上的内存。
10、支持的处理器
ollydbg(od反汇编工具)支持所有 80x86、奔腾、MMX、3DNOW!、Athlon扩展指令集、SSE指令集以及相关的数据格式,但是不支持SSE2指令集。
软件特征
1、直观的用户界面,没有加密的命令
2、代码分析 - 追踪寄存器,识别程序、循环、API调用、开关、表格、常量和字符串
2、直接加载和调试DLLs
3、对象文件扫描--从对象文件和库中定位例程
4、允许用户定义的标签、注释和功能描述
5、理解Borland®格式的调试信息
6、在会话之间保存补丁,将其写回可执行文件并更新修复程序
7、开放的架构--有许多第三方插件可用
8、无需安装--在注册表或系统目录中没有垃圾
9、对多线程应用程序进行调试
10、附着于正在运行的程序
11、可配置的反汇编器同时支持MASM和IDEAL格式
12、MMX、3DNow!和SSE数据类型和指令,包括Athlon扩展
13、完全支持UNICODE
14、动态识别ASCII和UNICODE字符串 - 也支持Delphi格式的字符串
15、识别复杂的代码结构,如调用跳转程序
16、解码对1900多个标准API和400多个C函数的调用
17、从外部帮助文件中提供对API函数的上下文敏感的帮助
18、设置条件、日志、内存和硬件断点
19、追踪程序的执行,记录已知函数的参数
20、显示修复功能
21、动态跟踪堆栈框架
22、搜索不精确的命令和屏蔽的二进制序列
23、搜索整个分配的内存
24、查找对常数或地址范围的引用
25、检查和修改内存,设置断点,实时暂停程序
26、将命令组装成最短的二进制形式
27、从软盘上启动
软件优势
1.多语言图形用户界面
2.支持AVS指令
3.调用堆栈窗口
4.SEH和VEH链条
5.多字节字符转储
6.在转储中搜索整数和浮点数
7.使用int1、hlt、cli、sti或insb而不是int3的软件断点
8.对ntfs流的有限支持
9.ollydbg支持重复计数
10.立即数据语句的汇编(db xx等)
11.突出显示运行中跟踪
12.更复杂的代码序列
13.显示可用内存
常见问题
1、有哪些常识?
一、机械码,又称机器码.
ultraedit打开,编辑exe文件时你会看到
许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码
就是机器码.
修改程序时必须通过修改机器码来修改exe文件.
二、需要熟练掌握的全部汇编知识(只有这么多)
不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了
cmp a,b 比较a与b
mov a,b 把b的值送给a
ret 返回主程序
nop 无作用,英文“no operation”的简写,意思是“do nothing”(机器码90)***机器码的含义参看上面
(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)
call 调用子程序
je 或jz 若相等则跳(机器码74 或0F84)
jne或jnz 若不相等则跳(机器码75或0F85)
jmp 无条件跳(机器码EB)
jb 若小于则跳
ja 若大于则跳
jg 若大于则跳
jge 若大于等于则跳
jl 若小于则跳
jle 若小于等于则跳
pop 出栈
push 压栈
三、常见修改(机器码)
74=>75 74=>90 74=>EB
75=>74 75=>90 75=>EB
jnz->nop
75->90(相应的机器码修改)
jnz -> jmp
75 -> EB(相应的机器码修改)
jnz -> jz
75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改)
四、两种不同情况的不同修改方法
a、修改为jmp
je(jne,jz,jnz) =>jmp相应的机器码EB (出错信息向上找到的第一个跳转)jmp的作用是绝对跳,无条件跳,从而跳过下面的出错信息
xxxxxxxxxxxx 出错信息,例如:注册码不对,sorry,未注册版不能...,"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in Shareware/Demo"等 (我们希望把它跳过,不让它出现)
xxxxxxxxxxxx 正确路线所在
b、修改为nop
je(jne,jz,jnz) =>nop相应的机器码90 (正确信息向上找到的第一个跳转) nop的作用是抹掉这个跳转,使这个跳转无效,失去作用,从而使程序顺利来到紧跟其后的正确信息处
xxxxxxxxxxxx 正确信息,例如:注册成功,谢谢您的支持等(我们希望它不被跳过,让它出现,程序一定要顺利来到这里)
xxxxxxxxxxxx 出错信息(我们希望不要跳到这里,不让它出现)
2、修改程序怎么用 ?
选中你修改的数据 右键>复制可执行文件>有选择部分和全部修改部分 ,弹出一个窗口,右键,保存文件就OK 。
常用快捷键
(CPU窗口中的反汇编面板[Disassembler pane]处于激活状态时可用)
回车键- 将选中的命令添加到命令历史[command history]中,如果当前命令是一个跳转、函数或者是转换表的一个部分,则进入到目的地址。 退格键 - 移除选中部分的自动分析信息。如果分析器将代码误识别为数据,这个快捷键就非常有用。请参考解码提示[decoding hints]。Alt+退格键 - 撤消所选部分的修改,以备份数据的相应内容替换所选部分。仅当备份数据存在且与所选部分不同时可用。
Ctrl+F1 -如果API帮助文件已经选择,将打开与首个选择行内的符号名相关联的帮助主题。
F2 -在首个选择的命令上开关INT3 断点[Breakpoint],也可以双击该行第二列。
Shift+F2 -在首个选择命令设置条件断点。
F4 -执行到所选行,在首个选择的命令上设置一次性断点,然后继续执行调试程序,直到工具捕获到异常或者停止在该断点上。在程序执行到该命令之前,该一次性断点一直有效。如有必要,可在断点窗口[Breakpoints window]中删除它。
Shift+F4 -设置记录断点(一种条件断点,当条件满足时一些表达式的值会记录下来)。
Ctrl+F5 -打开与首个选择的命令相对应的源文件。
Alt+F7 -转到上一个找到的参考。
Alt+F8 -转到下一个找到参考。
Ctrl+A -分析当前模块的代码段。
Ctrl+B - 开始二进制搜索。
Ctrl+C -复制所选内容到剪贴板。复制时会简单地按列宽截断不可见内容,如果希望排除不需要的列,可把这些列的宽度调整到最小。
Ctrl+E -以二进制(十六进制)格式编辑所选内容。
Ctrl+F -开始命令搜索。
Ctrl+G -转到某地址。该命令将弹出输入地址或表达式的窗口。该命令不会修改 EIP。
Ctrl+J -列出所有的涉及到该位置的调用和跳转,在您用这个功能之前,您必须使用分析代码功能。
Ctrl+K - 查看与当前函数相关的调用树[Call tree]。在您用这个功能之前,您必须使用分析代码功能。
Ctrl+L - 搜索下一个,重复上一次的搜索内容。
Ctrl+N - 打开当前模块的名称(标签)列表。
Ctrl+O - 扫描object文件。扫描Object文件。该命令会显示扫描Object文件对话框,您可以在该对话框中选择Object文件或者lib文件,并扫描这个文件,试图找到在实际代码段中用到的目标模块。
Ctrl+R -搜索所选命令的参考。该命令扫描激活模块的全部可执行代码,以找到涉及到首个选中的命令的全部相关参考(包括:常量、跳转及调用),您可以在参考中使用快捷键Alt+F7 和 Alt+F8来浏览这些参考。为便于您使用,被参考的命令也包含在该列表中。
Ctrl+S -命令搜索。该命令显示命令查找对话框供您输入汇编命令,并从当前命令开始搜索。 星号[Asterisk](*) -转到原始位置(激活线程的EIP处)。
Ctrl+星号(*) - 指定新的起始位置,设置当前所选线程的EIP为首个选择字节的地址。您可以在选择EIP并撤消该操作。 加号[Plus](+) -如果run跟踪[run trace] 没有激活,则根据命令历史跳到下一条运行过命令的地方;否则跳到Run跟踪的下一个记录。
Ctrl+加号 - 跳到前一个函数开始处。(注意只是跳到,并不执行)
减号[Minus](-) - 如果run跟踪[run trace] 没有激活,则根据命令历史跳到前一条运行过命令的地方;否则跳到Run跟踪的前一个记录。
Ctrl+减号 - 跳到下一个函数开始处。(注意只是跳到,并不执行)
空格[Space] - 修改命令。您可在显示对话框中以汇编语言修改实际指令或输入新指令,这些指令将替换实际代码,您也可以在想要修改的指令处双击鼠标。
冒号[Colon](:) - 添加标签。显示添加标签窗口[Add label]或修改标签窗口,您可在此输入与首个选择的命令中的第一个字节相关联的标签(符号名)。注意,在多种编程语言中,冒号可以是标签的一部分
分号[Semicolon](;) - 添加注释[comment]。显示添加注释窗口[Add label]或修改注释窗口,您可在此输入与首条所选命令的第一个字节相关联的注释(注释串会显示在最后一列中)。
注意:多种汇编语言使用分号作为注释开始。您也可以在注释列双击需要注释的命令行。
更新日志
ollydbg v2.01
1、对它的窗口签名进行了更改,从而避免被针对性检测。
2、对它的菜单做出调整。
3、针对一些有可能被检测的插件进行了删减。
4、修改了一些可能被检测的内容。
5、更新工具的插件为目前较新的版本。
