Ollydbg工具介绍
主界面:
反汇编窗口:窗口内显示的是程序反汇编后的源代码。分为四列:虚拟地址,16位机器码,反汇编代码和注释。
信息窗口:动态调试时,窗口内会显示当前代码行的各个寄存器的信息或者API函数的调用,跳转等信息。
数据窗口:默认以十六禁止方式显示文件在内存中的数据。分为三列:虚拟地址,16进制值,ASCII/Unicode字符。
寄存器窗口:动态显示CPU各个寄存器,包括数据寄存器,指针及变址寄存器,段寄存器以及控制寄存器中的状态字寄存器等。
堆栈窗口:显示EBP和ESP指向的内容。在堆栈中,通常会有在调用API函数,或者子程序时传递的参数,变量等。
命令行:方便在动态调试时输入命令,一般来说主要是输入下断点或者清除断点的命令。具体命令在”命令行命令.txt”有详细的命令介绍。
UDD文件是反汇编程序后自动有Olldbg生成的,其中包含了反汇编信息,断点设置信息,设置的标签,注释等信息。
反汇编操作:
Ctrl+N:弹出对话框显示程序调用的外部模块和函数,也就是程序的引入表。
Ctrl+G:在弹出的对话框中输入虚拟地址,就可以跳到该地址处。
Ctrl+F:在反汇编窗口中,可以搜索汇编代码。
;(分号):对当前的代码进行注释。
:(冒号):对当前代码行添加标签。
Ctrl+E:以16进制的形式修改汇编代码。
Space:可以对当前代码进行汇编编辑,方便修改指令。修改后,点击右键,选择“复制到可执行文件”命令可以将修改的内容保存到文件中。
在寄存器窗口双击寄存器,可以修改寄存器的值。双击程序状态字寄存器也可以进行修改。
断点操作:
一般断点:将输入断点地址处第一个字节用INT3指令代替。可以同时下多个一般断点。
下一般断点有两种方式:1.F2键。2.命令“bp 虚拟地址/API函数”。
内存断点:包括内存访问断点和内存写入断点。
内存访问断点:程序运行时要调用被选择的内存数据时就会被Olldbg中断。
内存写入断点:程序运行时向被选择的内存地址写入数据时就会被Olldbg中断。
下断点方法:在数据窗口中选择一部分数据,然后点击右键出现功能菜单,选择“断点”项,然后从中选择内存访问或者内存写入。
可以在Ctrl+M打开内存窗口,找到输入的验证码或者序列号,下内存断点,这样就可以观察何时使用这些信息。
当重新载入程序后,以前的内存断点还在可以输入命令”brk”或者Alt+B组合键,打开断点窗口,清除断点。
硬件断点:
Ollydbg有有三种硬件断点:硬件访问(HR),硬件写入(HW),硬件执行(HE)。使用HD命令可以清除断点。Olldbg允许设置4个硬件断点。一般使用HR和HW。
下断点方法:1.在数据窗口中选择一部分数据,然后点击鼠标右键出现功能菜单,选择“断点”项,然后从中可以选择设置硬件访问、硬件写入和硬件执行断点。2.如果需要设置内存读取断点,输入命令“hr 虚拟地址”。
动态调试操作
F9:运行程序。
F7:单步跟踪,遇到Call执行会跟入执行。
F8:单步跟踪,遇到Call不会跟入执行。
F4:执行到所选代码。??????????
Ctrl+F9:执行到返回语句,常用于快速执行完子程序。
Alt+F9:执行到程序领空。如果执行到DLL模块中,此命令可以迅速返回程序中执行。
附加(Attach)功能:
可以先运行程序,在尝试使用附加功能载入程序进行调试。
使用Ollydbg手动脱壳
一般步骤为:寻找入口点,在入口点进行文件转储(DUMP)和修复导入表。
寻找入口点:在内存中壳的功能完成之后,都会转向程序开始运行的地方,程序从自身的入口点开始运行自己的代码。
文件转储:将内存中程序真正自身的部分提取出来,作为另一个程序,提取出来的程序已经没有了外壳。Olldbg本身有OllyDump文件转储插件。
修复导入表:如果导入表由于被加密等原因造成损坏,可以使用Import REConstructor进行修复,复杂的可以再次使用动态调试工具进行调试跟踪,找出出错位置。
手动脱壳基本方法:手动脱壳时,壳里会有许多循环,对付循环时,只能让程序向前运行,基本不能让它往回跳转(不是绝对)。可以利用F4尝试跳出循环,如果循环中有多个跳转指令,跳转到循环外部,则需要一次次调试,如果执行跳转指令时使得程序自动考试运行了,表示程序已经由壳转到程序自身运行了,不再壳的范围内了,遇到这种情况则要尝试选择其他跳转指令;遇到Call语句时,虚拟地址很接近的Call最好用F7跟入,地址较远的Call可以试着用F8跳过,如果程序已经运行,则要重新调试进入Call中。
ESP定律脱壳
适用于脱压缩壳和不少加密壳。
原理:堆栈平衡。
ESP定律的使用方法:载入加壳程序后,当ESP中的值第一次改变时记下这个值,然后对这个值下硬件访问断点,运行程序时,一般的压缩壳都会停留在待转向OEP的那条语句上。