OllyDbg小知识【3】 - 功能学习小结

最新推荐文章于 2023-10-10 15:50:17 发布
最新推荐文章于 2023-10-10 15:50:17 发布
阅读量1.3k 收藏
点赞数
分类专栏: 安全 文章标签: string byte user c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BetaBin/article/details/7359046
版权

学OD也有两周了,对一些功能有点学习小结。

1、INT3断点

其实,关于INT3断点了解不多,知道机器码为CC,也知道一般调试器断点是采用这种形式。对于OD来讲,就是这样的。所以,对OD的反调试,可以从函数入口地址的机器指令入手。比如如下代码:

FARPROC;
BYTE Mark = 0;
(FARPROC&)  Uaddr = GetProcAddressGetProcAddress(LoadLibrary("user32.dll"), "MessageBoxA");
Mark = *((BYTE*)Uaddr);
if(Mark == 0xcc)
	return TRUE;


不过这样也让OD人容易反anti,就是在函数内部设断点。感觉这应该成为一个习惯吧。


2、F4的运行到光标功能,原来都是用硬件断点实现的。利用中断后自动删除,形成一次性硬件断点。不知道VS之类的是不是这样呢。


3、VC的可执行文件是存放在代码段里面的,既是代码资源吧(.text)。所以,之前我自己搞条件断点实现消息断点,原理应该是先通过判断[ESP+4]==WM_LBUTTONUP,来到系统底层截获,然后通过对.text段设置访问断点,可以直接运行到我们的程序段。不过对于如何从消息循环中走出到我们的按钮事件响应代码中,貌似还需要一步步走出来。


4、对于条件断点的使用,字符串的判断命令:bp CreatFileA, [STRING[esp + 4]] == "C:\\betabin.txt"。


5、条件记录断点,就是可以记录信息吧。直到某一时刻。Shift+F4。


6、用Trace功能来反方向分析。

BetaBin
关注
专栏目录
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
[系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解
杨秀璋的专栏
09-01 3526
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。
ollydbg功能
02-21
OllyDBG是一个新的动态追踪工具,OllyDBG将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。强烈推荐! 此版本为cxj98发布的OllyDBG 2.01h (Beta 2) 全功能带最新插件版,官方最新版本 2.01 h,升级了一下所有的插件,并将 OllyDbg 1.10 的配色方案迁移到 OllyDBG 2.01 版
OllyDbg介绍
weixin_34185364的博客
08-10 721
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。百度百科介绍:http://baike.baidu.com/view/939483.htm?fr=aladdin 百度文库:http://wenku.baidu....
逆向分析基础 OllyDBG 入门系列(七)-汇编功能
05-09
逆向分析基础 OllyDBG 入门系列(七)-汇编功能
OllyDBG 入门系列(七)-汇编功能
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
第一课 初步认识Ollydbg及常用工具功能及各项汇编指令
crkres9527
07-14 1183
JMP 无限跳指令JE与JZ等价,它们是根据标志位ZF进行转移的指令指令JNE与JNZ等价,它们是根据标志位ZF进行转移的指令CALL调用某一段指令时用到RETN 返回指令,是结束段时使用CMP 比较指令,用于条件判断时使用MOV 传送,根据后面指令部分取决于传递当前数或者当前地址的值PUSH 压入一个数据到堆栈Pop 弹出堆栈的数据NOP 空指令,让指令不起作用 如果学习算法的话,还需要熟悉一些...
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3200
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
热门推荐
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
最新发布
aming小老弟
10-10 1479
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
OllyDBG反汇编入门教程图文资料 中文版
11-23
OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考 TT 小组翻译的中文帮助: 反汇编窗口:显示被调试程序的反汇编代码,标题栏上的地址、HEX 数据、反汇编、注释可以通过在窗口中右击出现的菜单 界面选项->隐藏标题 或 显示标题 来进行切换是否显示。用鼠标左键点击注释标签可以切换注释显示的方式。
OllyDbg使用小技巧(慢慢积累)
faithzzf的专栏
03-29 1150
由于工作需要,偶尔会使用OllyDbg动态调试。这里对一些小技巧或者方法进行简单归纳总结。           1 某些时候我们会结合IDA进行逆向分析,在IDA中查找到某个函数或者API调用,我们可以记住IDA中的地址信息,然后在OllyDgb中按Ctrl+G,输入地址,跳转到该地址处,分析该代码段或者下断点调试。
动态调试OllyDbg工具
xuanyitwo的博客
04-24 562
​ F7: 单步步入,功能同单步步过(F8)类似,区别是遇到call等子程序会进入其中,进入后首先会停留在子程序的第一条指令上。​ ctrl+F9: 执行到返回,此命令在执行到一个ret(返回指令)时暂停,常用语从系统部分返回到我们调试的程序部分。3.当程序运行到这个地址的时候,CPU会向OD发送异常信息,然后程序中断,等待用户操作。​ F2: 设置断点,只要在光标定位的位置按F2即可,在按一次F2键则会删除断点。​ F9: 运行,按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
OD实例2-条件断点
weixin_30849403的博客
07-03 547
以下演示如何下条件断点: 在调试过程中,经常希望断点满足一定条件时才中断,这类断点称为条件断点, 在OD的帮助文档有详细的说明: (1)按寄存器条件中断: 用OD打开Conditional_bp.exe,在0040147c,按shift+F2设置条件断点: 输入表达式eax == 040000,这样如果eax为0400000h,OD将中断, 用OD帮助文档解释下: 04000...
一般断点
weixin_30460489的博客
09-04 345
拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndirect(A...
恶意代码分析-第九章-OllyDbg
每昔的博客
08-06 1189
目录   笔记 实验 Lab 9-1 Lab 9-2 Lab 9-3 笔记 加载文件: 执行代码: Execute till Return -> 在当前函数返回时暂停执行 -> CTRL-F9 Execute til User Code ->从库函数中出来回到user code -> ALT-F9 单步跳过陷阱:               0...
OD修改加载外部DLL动态链接库运行
az44yao的专栏
03-07 3121
pushadmov  eax, 00d8dab0push eax      文件名call 004092F4  loadlibrarymov ebx,eax    传送句柄mov eax,00d8dad0  函数名push eax   函数名入栈push ebx   句柄入栈call 00409214     GetProcAddress 获得函数地址mov ecx,00d8dae0  参数pus...
OllyDbg插件StrongOD功能与应用解析
3. 运行OllyDbg,通常在插件加载界面中选中StrongOD.dll以启用。 4. 阅读info.txt文件以获取详细的安装和使用指南。 5. 根据info.txt文件提供的信息,开始使用StrongOD插件进行调试。 为了深入了解StrongOD插件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值