反汇编中关于IDA与OLLYDBG的使用

原创 2015年11月18日 11:19:17

1 ollydbg 消息断点的方法,菜单栏中点击查看=》窗口,根据字符串找到需要消息断点的控件,右键选择 消息断点在 ClassProc在弹出的窗口中选择WM_XXXX消息,点击后,会在系统代码段中断点,然后,alt+m打开内存窗口,在.text段按F2下断点,然后按F9继续运行,最后会在用户代码段断点,就是要找的位置了,通常会在窗口过程中断到点,这时通过switchcase就可以找到目的了。

2 ollydbg 内存中查找字符串的方法:alt+m弹出内存映射窗口,ctrl+b弹出内存字符串找查窗口,然后在ascii一栏输入想要找的字符串,确定后,会弹出数据窗口,显示找到的字符串所在的内存区域

3  

LoadPE VOffset VSize 虚拟起始地址,虚拟偏移地址,ROffset,RSize 物理起始地址,物理偏移地址

4 查找main函数的方法:首先找到_exit,然后通过交叉引用,找到调用_exit的地方,然后往上几行,找到三个push一个call的地方,就是main函数调用的地方了

5 C++函数命名约定double =>Nint => Hchar => Dfloat => Mstdcall 为以下命名方法例如:int cpp_stdcall(double,char,int,float)?cpp_stdcall@@YGHNDHM@Z

6 ollydgb 不能同时保存数据和代码,只能分开保存,最好修改一处,保存一处

7  
ida,*号标记数组

8 ida ctrl+x交叉引用,enter转到定义,shift+F12打开程序字符串页面(视图-》下级视图-》字符串),然后双击,可转到对应的PE视图,PE视图的.text段有图表和反汇编视图两种方式,PE视图与HEX视图(16进制显示的视图)同步,无需跳转,打开方式,视图-》下级视图-》Hex数据,修改hex数据时,右键编辑即可,但不改变原文件,只会改变工程文件,如要改变原文件,可以使用OD或UE。PE视图点击右键有添加标记与跳转到标记的功能,对于一个call可以所loc_xxxx这种,可以用右键重命名,来标识。

9 od ctrl+n打开函数输入表,用于查找函数调用,alt+m打开内存记录,用于区块断点,F2断点,F3打开,F4执行到到前光标所在的位置,F7步入,F8单步,F9运行,Ctrl+F9跳到函数ret处,Alt+F9回到用户领空,*号跳转到当前断点处,断点种类,指令断点(F2),内存断点,区块断点,条件断点,条件记录断点。

10  
shift+;号编辑od的标签,可以使得调用这个地址的call都改成标号,增加可读性

11  ida 按X可以打开引用变量或调用函数的地方,按enter可以转到数据或函数定义的地方

12  ollydbg 按*号,可以快速回到当前领空。搜索字符串,先点击右键选择中文搜索引擎,ASCII字符串,然后在弹出框出就能通过右键find选项查找

想要的字符串了。

13 ollydbg hit trace 一使用就程序就崩溃

14 ollydbg run trace 需要在启动调试后,再添加所有函数入口,否则会因为堆栈溢出,造成程序的终止

15 ollydbg 寄存器间接寻址条件断点 [string [esp+4]]=="c:\\1212.txt",string可大小写,但后面的字符串一定得是双引号

自学 IDA PRO 反汇编so 的血泪史

一直就有写博客的想法,原因是看到好多 比较牛的人 一直在写,写他的收货,总结,纯技术教程。而我什么都没有,就不知道写什么。今天突然恨有感慨就 写下我的处女贴。 接触Android逆向已有1年多了,但只...

IDA PRO 静态反汇编与OllyDbg动态调试实战技巧汇总

 ********************************** 案例一: 使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函...

使用IDA破解TraceMe.exe

我发现用IDA破解TraceMe.exe比OD容易多了。 打开IDA 后,直接搜索“序列号”,得到 双击跳转到反汇编窗口,按F5转换为类C++代码  signed int __stdcall ...

ida与od载入exe区别

od是把整个空间都加载起来,而ida只是加载了exe文件,它所关联的dll并没有加载,于是它只分析了exe   我现在有一个exe,它有多个dll    而每一个dll都有调试信息   如果我单个加载...

OllyDbg,IDA pro强强联合!从OllyDbg中载入IDA Pro输出的map信息文件,带符号信息调试!

OllyDbg,IDA pro强强联合!从OllyDbg中载入IDA Pro输出的map信息文件,带符号信息调试!write by 九天雁翎(JTianLing) -- blog.csdn.net/v...
  • vagrxie
  • vagrxie
  • 2009年06月14日 02:22
  • 9555

OllyDbg、IDA Pro联合调试

IDA Pro的版本是6.1,OllyDbg的版本是1.10。 IDA Pro的菜单File->Produce file->Create MAP File产生map文件。 下载loadmap插件,地...

使用IDA的跟踪功能

一个小bug程序 这个小程序只是简单的计算了一下一组数据(1,2,3,4,5)的平均值。这组数据被保存在两个数组里,一个是8bit的数值,一个是32bit数值表示。 #include char...
  • eqera
  • eqera
  • 2012年11月29日 11:31
  • 12049

IDA复合条件断点

--------------------------------------------- author:hjjdebug date: 2017年 11月 26日 星期日 07:55:50 CST -...

OllyDBG反汇编快速找到程序入口&一点分析

出处:http://hi.baidu.com/0soul/blog/item/b62f8f08c2c3c42c6b60fbbe.html先声明下:这个和脱壳没关系,不是找壳里面的程序入口哦,只是程序本...

IDA Pro 基础学习

IDA Pro 基础学习甲: IDA 的窗口IDA 的窗口可以通过view->open subview 中的菜单项来打开。 ctrl-1 是快捷键打开选择窗口。再选择要打开的窗口.窗口为我们提供信息...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:反汇编中关于IDA与OLLYDBG的使用
举报原因:
原因补充:

(最多只允许输入30个字)