为OllyDbg增添“内存硬件条件断点”功能（1）

感谢OllyDbg的作者，写出了这么好的调试器，感谢cao_cong老师做的汉化，感谢众多插件作

者，我常用的是OllyDbg v1.1【汉化第二版】（一下简称OD）。API的参数总是通过堆栈

交换，局部变量也是安排在堆栈中，比如说一个数值在堆栈0012DACC位置出现了，追踪这些值的

一般做法是，查找到该位置上下较近的一个“返回到XXXX”，参考这个“xxxx”位置，不难定位

到哪句代码把0012DACC处的值写入的。当堆栈该处上下位置位置很远处找不到“返回到XXXX”

时，不得已，下内存断点吧：在OD的数据区右击鼠标，用菜单"转到-> 0012DACC，将堆

栈映射到数据区，在“0012DACC”处下内存写入断点，跑起OD，运气好的话，n次断下后，目

标出现了（心情激动），运气不好，由于在堆栈区下断，断下太频繁，人累的不行，目标却在10万

8千里之外。。。搞不好被调试代码出个“蓝屏”罢工了，只好放弃。可以设想：在0012DACC处

下断时设置一个条件“该处值为XXXX时断下，不是该值则继续跑”，这是一个好主意。可惜的是,

美中不足，OD没有这项功能。很长一段时间，我一直想也许新版本能增加这项功能，可是2.0版没

有增加。用罗聪的OllyMachine写脚本，几句代码可以搞定，但是效率不能令人满意。在OD上直

接动手吧，一是没有参考资料，二是对OD的敬畏之情，迟迟不能下手。前几天登陆论坛，一下子找

到了好东西，武汉科锐学员: angelqkm的《OllyDBG分析报告系列》，这么好的东西我竟

然没看见。也是因为个人一些状况，我已经5年多没登陆了，感谢看雪论坛保留了我的ID。经过一

周的努力，“为OllyDbg添加内存条件硬件断点功能”有了初步成果，现在准备贴出，请高手指

点。

我为OD增加的功能如下：在数据区下内存硬件断点（访问、写入）时，弹出一个对话框，输入该内

存处的数值作为断下条件，当条件满足时断下，不满足时继续跑。原理如下：由于硬件断点的原理

是通过设置调试寄存器dr0---dr7后，代码运行时触发中断，

代码断下，OD就把中断的一些信息报告出来，等待用户下一步的操作，用户按下F9后，代码再次

跑起来。好了如果OD不是简单的报告信息，而是报告之前先行判断一下这个断下是否是用户需要

的，如果是用户需要的就报告给用户，等待用户处理，不是用户需要的就不再报告信息，继续跑代

码，这就是条件硬件断点最好的实现方法。由于我一时没搞清OD的硬件断点异常处理的细节，就采

取了变通的做法：OD继续以自己的方式报告中断信息，等待用户处理时判断一下这个中断是否是用

户期望的，如果不是，就“替代用户按一下F9”，代码再次跑起来。这个变通做法从效率上讲，是

OD做了一些无用功，既然不是用户期望的中断理当直接处理现场跑代码，不需再做报告信息的工作

了。但是以上变通做法的效率比用OllyMachine写脚本，提高了很多。[/SIZE][/SIZE]