博客

OllyDbg使用技巧总结

  • Post author:
  • Post category:其他


OllyDbg(简称od)是Win32汇编器级的分析调试器。

下载:


http://www.ollydbg.de/

参考资料(日文):

sp-.up.seesaa.net/image/kyozai.html

简单用法:

(1)打开exe

File->Open

(2)附到进程(假如要调试服务进程或者一些特殊运行方式的程序,

但执行暂停可能会破坏进程的处理)

File->Attach

(3)查找API入口表(用于下API断点)

切换模块:在反汇编窗口右键->View->Module ‘XXX’

(通常是你正在调试的那个exe名称,如果没有就是说现在就在此模块上,不需要切换)

然后在反汇编窗口右键->Search for->Name(label) in current module

弹出N窗口(Names),选择一个DLL入口函数(例如MSVCRT.exit),右键执行API相关操作(最常见的是下断点或日志断点)

如果列表太长,可以粘贴到文本文件中进行搜索。

(4)查找API的引用

常用于API断点的添加。

照(3)所示打开N窗口后,

N窗口中右键->Find references to import

弹出R窗口(References),然后双击选择位置。

C窗口(CPU)会跳到指定的位置,并且在注释中提示该API的参数信息。例如

00401131   . 6A 30          PUSH 30                                  ; /BeepType = MB_ICONEXCLAMATION

00401133   . FF15 5C204000  CALL DWORD PTR DS:[<&USER32.MessageBeep>>; \MessageBeep

另一种方法是直接在C窗口右键->Search for All Intermodular calls打开R窗口,

然后双击直接跳到引用的地方,再执行断点等操作。

(5)日志断点

日志断点不会中断程序,而是在程序通过断点处时记录下信息,而方便分析。

在C窗口的反汇编行中右键->Breakpoint->Conditional Log

或R窗口的指定行中右键->Set log breakpoint on every command

弹出对话框,一般OK是灰色的,需要修改单选框。

例如我对运行于该汇编指令处的EBX上的字符串值感兴趣,可以

Expression输入STRING [EBX]

Pause program选择Never。

Log value of expression选择Always。

B窗口(Breakpoints)就会多出一条断点。

日志记录会输出到L窗口(Log data)

关于od的表达式用法可参考


http://hi.baidu.com/hateme_xm/blog/item/3b6d8b81271329d3bc3e1e9c.html

(6)断点和步进

在C窗口双击即可添加断点,然后Debug->Run运行程序。

程序中断后执行Debug->Step into/Step over进行调试,观察堆栈和寄存器的数值变化。

(7)修改exe内容

在C窗口中某反汇编语句上按空格,然后输入新的汇编指令。

修改后右键->Copy to executable->All modifications

弹出D窗口(File)

然后右键->Save File

另存为新的文件。

(8)条件断点和Trace

条件断点与断点的不同在于它是针对数据而非指令。

条件断点在Trace下有效,而在Run下无效。

添加条件断点:

Debug->Set conditon(例如:Command is one of PUSHFD)

然后Debug->Trace into

或者Debug->Animate into(动画显示)

(9)Trace日志

当执行Trace操作(例如Debug->Trace into),

…窗口(Run trace)会保存所有执行过的指令。

右键->Log to file保存为txt文件

用于比较两次Trace的日志以发现代码覆盖的不同。

(10)文本搜索

有时需要知道用户界面的某条字符串在exe的哪个位置。

方法是C窗口Alt+F10(或右键)->Search for->All referenced text strings

弹出R窗口,双击跳到引用处。

如果文本太多,可以考虑复制到记事本中搜索,或者

R窗口右键->Search for text

(11) etc

F9运行

Ctrl+F2结束后重新加载

(Options->Debugging options对话框->

Warn when terminating active process)

F8步进

F2断点

F7步入

Alt+B:B窗口(断点)

C窗口右面的寄存器窗格虽然没有滚动条,但是可以拖动

双击修改汇编,如果按Ctrl+F2重新加载,会变成灰色,

??每次修改应保存

??可以用右键->Backup->Load backup from file重新应用修改过的地方

Copy to executable->All Modifications


版权声明:本文为umier2000原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。