note : OD操作整理-API断点的设置;寄存器的修改;数据的查看

最新推荐文章于 2024-01-28 16:03:10 发布
最新推荐文章于 2024-01-28 16:03:10 发布
阅读量4k 收藏 5
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LostSpeed/article/details/8882624
版权

中断的设置

断点列表和代码的切换

断点的操作与切换

转到表达式, 用于在汇编窗口直接查找API

查找程序中使用的API,并对关注的API下端点.

确定在程序领空内. 需要在主程序领空查看API列表. 如果在系统DLL中, 查看的API列表就是那个DLL调用的API列表.

可以在程序入口点到主视图或主对话框出来之前, 查看主程序用到的API列表.

也可以在程序领空, 查看依赖的DLL的导入函数, 来设置断点.


单步时, 如果遇到了跳转, 可以设置新的EIP, 用来实验逻辑分支.


除了EIP, 其他寄存器可以通过双击寄存器, 在弹出的对话框中修改 或 双击后, 取反值.


在数据窗口菜单上, 输入地址表达式, 可以转到内存地址.支持表达式和立即数.



当在OD中载入的程序结束后, 会留下堆栈调用数据. 可以根据堆栈上的调用设置断点, 确定程序退出的调用点.

当跳转出现时, 查看跳转目标地址

在跳转目标地址, 回到跳转源地址

查看串参考

查看栈的数据

函数操作入口处, 会保存ESP到EBP, 当函数运行时操作变量会相对于ESP和EBP, 按照ESP或EBP查看栈会方便理解函数使用栈变量.

在OD命令输入框输入命令, 查看内存数据


给wmain函数设置断点

在<<找到的模块间的调用>>窗口输入函数名称, 可以直接找到那个函数, 比如 : wmain, 如果想在没壳程序的wmain处断住, 这样下wmain断点很快.



如果用一个程序写了多个程序的版本, 例如: 一个做实验的Demo. 

用OD加载时, 如果已经用OD分析过同名的exe, 那么OD会提示, 断点无效之类的提示. 而且首次OD停在PE文件中的样子也怪怪的.

这时, 关掉OD, 去OD目录下的\UDD\, 删除和本次加载PE同名的OD数据库文件。 再加载此PE, OD分析就正常了.

查看内存映像区段数据



使用OD查看PE头数据



回到当前EIP

在OD命令输入框输入 :  orig










LostSpeed
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OD内存断点初步分析
BenChang的专栏
04-26 5066
通过ida静态分析和od动态分析od程序,初步了解内存断点的机制
Micron Technical Note:TN-41-02 DDR3 ZQ Calibration Introduction
04-13
Micron Technical Note:TN-41-02 DDR3 ZQ Calibration Introduction
ollydbg_plugin:OD插件重命名函数(打标签),在内存窗口中按照指定字节数排序数据
04-01
ollydbg_plugin 支持功能:给函数加标签,重命名函数。 点击右键修改函数名称 点击确定修改函数名称 在内存窗口快速根据输入或相应的数据并保存到磁盘 首先首先需要复制的数据的第一个字节 点击鼠标,选择“复制指定字节数” 输入需要选择的字节数 有时自动需要相应大小的数据。有时候需要跟踪程序调用writeFile API写了什么东西到磁盘中时,就可以使用这个插件来选择并复制指定大小的数据。 在上方需要保存的数据之后选择“将上方的数据保存到文件” 在弹出的另存为初始中选择需要保存到的路径以及文件名 点击保存弹出成功往xx写入xx字节数据即为保存成功 去做 修改函数名称 内存转储快速根据地址和大小选择相应的数据 内存转储时可以快速把内存中的东西保存到磁盘
OD查看内存信息
跃然实验室
06-09 5075
必须以管理员身份运行 用OllyDbg查看内存信息 按运行 ALT+M打开内存窗口 选择一行,CTRL+B 打开搜索,
使用 Windows API 实现软件断点调试器
最新发布
溡漪幽博客
01-28 931
通过使用 Windows API,我们成功实现了一个简单的软件断点调试器,该调试器能够在目标进程中设置断点、监听调试事件并打印寄存器信息。这个调试器虽然简单,但为理解调试器的基本工作原理提供了一个很好的起点。在实际场景中,可以根据需求对其进行扩展和优化,以满足更复杂的调试需求。
第52篇:OD使用教程2-设置API函数断点去除软件对话框及过期校验
热门推荐
ABC_123的博客
02-17 1万+
Part1 前言大家好,我是ABC_123。之前分享过一篇Ollydbg逆向分析入门教程《第50篇:使用OD逆向破解流光Fluxay扫描器各种限制》,这篇文章主要讲解了在使用OD逆向分析时,如何按照编程人员的思维去解除软件的各种限制。方法有点麻烦,而且还有一处软件过期校验没有完美去除掉。本期除了介绍通过段首关键call解除软件过期的方法以外,还会介绍一种通过查找API函数下断点的方法。假设软件...
【Windows 逆向】OD 调试器工具 ( 显示模块窗口 | 显示记录窗口 | 显示内存窗口 | 显示线程 | 显示句柄 | 显示 CPU | 多窗口界面 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-15 1861
一、显示模块窗口、 二、显示记录窗口、 三、显示内存窗口、 四、显示线程、 五、显示句柄、 六、显示 CPU、 七、多窗口界面、
QuickNote:尽可能快-开源
08-10
公告 QuickNote 将于 2021 年 9 月 4 日终止支持 QuickNote by PavichDev 3.1 中的新功能 - macOS 版本中的新图标 - 错误修复和改进
react-note-app:react-note-app https
05-01
使用AJAX请求获取数据API后端集成 节点 Ruby on Rails 在开发中代理API请求 配置代理后出现“无效的主机头”错误 手动配置代理 配置WebSocket代理 在开发中使用HTTPS 在服务器上生成动态<met
ohys-api:Ohys-API是一个用于重新分发Ohys-Raws动漫元数据的项目
05-25
Ohys-API是一个用于重新分发Ohys-Raws动漫元数据的项目。 目录 (作为模块) 发展 环境 当前的应用程序已使用Node.JS v14.5.0和Yarnpkg v1.22.4开发。 原料药 另外,您可以将此项目安装为应用程序的依赖项并使用...
病毒分析与防护实验3—— 反汇编工具(Ollydbg)的使用
郭同学如是说
04-02 1841
实验名称:病毒分析与防护实验3—— 反汇编工具的使用 实验目的 熟悉动态分析工具OllyDBG的界面和常用模块 熟悉静态分析工具IDA的界面和常用模块 掌握使用OllyDBG和IDA分析修改可执行文件的方法 实验原理 OD界面 窗口名称 作用 反汇编窗口 显示被调试程序的反汇编代码,标题栏上的地址、机器码、反汇编代码、注释。 寄存器窗口 显示当前所选线程的 CPU 寄存器内容 信息窗口 显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等 数据窗口 显
[置顶]       Ollydbg 编写脚本的一些语法及例子(OD脚本)
weixin_33795093的博客
01-29 474
OllyScript脚本语言是一个种类汇编的语言。你使用它来控制ODbgScript和脚本运行. 在后面的文档中, “源操作数” 和 “目的操作数”表示以下含义: - 十六进制常数,既没有前缀也没有后缀。 (例如:是00FF, 而不是 0x00FF 和 00FFh的形式) 十进制常数,在后缀中加点. (例如:100. 128.也可以是浮点数128.56,浮点...
OllyDbg使用笔记
52CRACKING
04-28 361
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
OD硬件断点OD内存断点API断点
icefoxy的专栏
12-01 9087
一.【设置硬件写入断点】<br />9 i0 B( m; A8 {HW 968A34+ X+ ^: [. R# a<br />命令"HW "的全称是 Hardware Write ,Hardware 是硬件的意思,Write是写入硬件的意思,968A34是某游戏 的内存地址<br />' h: h4 i! p% /) }) /8 w8 u--------------------------------------<br />! /: F; Q) q" R- w0 s, k9 H! {0 c/ w) T
OD用栈回溯法找程序流程点
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
02-11 6544
前言看别人操作时, 人家能通过栈回溯,找到流程点(e.g. Show Dialog, Click Button) 我自己做的时候, 和人家的上下文不一样. 自己做了下试验, 原来必须要用trace into(CTRL+F11), 才行.记录程序启动后, 在流程点即将进行前, 在OD中先停住, 打开run trace, 再trace into, 然后在进行流程操作. 等流程进行完(e
【Windows 逆向】OD 调试器工具 ( CE 工具通过查找访问的方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具中查看 05869544 地址数据 | 仅做参考 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-15 3372
一、CE 工具通过查找访问的方式找到子弹数据基地址、 二、使用 OD 工具附加游戏进程、 三、在 OD 工具中查看 05869544 地址数据
OllyDBG(OD内存映射属主找不到当前程序名解决办法和跟随ClassProc 反汇编窗口空白的解决办法...
chenzan7581的博客
05-25 456
OD 内存映射 属主找不到当前程序名解决办法 取消“插件(Plugins)>StrongOD>选项(Options)”里“高级枚举模块”选项,重启OD; 跟随ClassProc 反汇编窗口空白解决办法 下载StrongOD.dll; ...
Windows逆向分析实战:使用CE+OD获取用户信息
weixin_42962516的博客
03-17 4242
序: 很多想学软件逆向分析的朋友们,初学者往往看到一大堆的技术资料,直接就懵了。本文以一个简单的例子,演示一下使用CE+OD进行内存的获取,然后使用Qt进行界面显示,让初学者简单了解逆向分析的流程,并且一步步自己进行手动实现,让初学者有一些成就感,避免直接上来就是技术文档打击到学习的热情。 一、准备工作: CheatEngine 简称CE 用来定位数据; Ollydbg 简称OD 用来动态调试; 微信版本:3.1.0.67 Qt:5.13.0用来开发界面(我喜欢用Qt做界面,习惯使用MFC的朋友们也可以使用
OD常见问题
LDWJ2016的博客
09-30 3581
1. 乱码      现象:如果反汇编面板中显示的都是db之类的数据,那就说明OD把代码当成数据了,没有进行反汇编。      解决方法: 1)在反汇编面板上选择右键菜单里的 “ Analysis / Analyse code” (或其快捷键 Ctrl + A)强制OD重新把此处当                               成代码来进行分析即可。                 ...
.note_right .note_xh { justify-content: center; align-items: center; display: flex; background-color: #fff; border-radius: 50%; margin: 0 10px; height: 22px; width: 22px; } .note_right .note_xhh { justify-content: center; align-items: center; display: flex; background-color: #f09999; border-radius: 50%; margin: 0 10px; height: 22px; width: 22px; }判断一个条件,当条件满足时实现第一个样式,不满足时执行第二种样式
06-06
.note_right .note_xh:not(.note_xhh) { justify-content: center; align-items: center; display: flex; background-color: #fff; border-radius: 50%; margin: 0 10px; height: 22px; width: 22px; } ....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值