OllyDbg 使用笔记 (一)

最新推荐文章于 2024-05-14 20:03:29 发布
最新推荐文章于 2024-05-14 20:03:29 发布
阅读量8k 收藏 32
点赞数 4
分类专栏: 加密与解密 文章标签: 反汇编 OllyDbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/billvsme/article/details/38305839
版权

OllyDbg 使用笔记 (一)


参考

书:《加密与解密》

视频:小甲鱼 解密系列 视频


ollydbg下载地址:http://tools.pediy.com/debuggers.htm

hello.exe下载地址:http://pan.baidu.com/s/1c0iYQOC


一、OllyDbg基本界面


图片1



如果按窗口切换按钮出现下面的情况,乱了,只需要双击一个窗口让它全屏就行了。

图片2




二、部分快捷键介绍


F3 : 打开目标文件

F2 : 设置断点

F7:单步步进,遇到CALL跟进

F8:单步步过,遇到CALL路过,不跟进

F9:运行调试程序,直到运行到断点处

F4:运行调试程序,直到运行到光标处

Ctrl+F7/F8 相当于一直按F7/F8

Ctrl+F9 快速跳出函数

Alt+F9 快速跳出系统函数

Ctrl+F2 重新载入程序

在反汇编面板中

;键:写注解

空格键:改变当前的指令

数据面板中

Ctrl+G:打开地址窗口

空格:编辑数据



三、修改hello.exe 中MessageBox的内容


此程序下载地址见 blog开头。


更改下面这个程序的标题和内容


图片3




在OllyDbg中按F3打开hello.exe


按住F8 直到弹出hello窗口


单步运行到004010E9时会停下来,弹出一个MessageBox窗口。


图片4



在这里下一个断点。

再按Ctrl+F2重新载入,再按F9运行到断点处。在F7步进,进入函数中。

我们可以看到


图片5



可以看到4个PUSH和一个CALL

四个PUSH就相当于参数。可以看到右边的注解(OllDbg会根据dll自动注解),这其实是MessageBox的4个参数,由于VC++默认函数是__stdcall 所以参数进栈的顺序是从右往左的。


我们可以看到MessageBox显示的窗口和内容的字符串的地址。同过修改相应地址的内容就可以改变窗口的内容。


在数据面板 按下Ctrl+G s 输入 00406030

鼠标选中要改的地方,按下空格键输入要改动字符。


图片6




由于是调用MessageBoxA(A代表ASCII),所以在ASCII中输入想要字符,记得要以00结尾。例如输入 “哈哈!!”


图片7



再F8 运行程序,运行到call messagebox处,就可以看到MessageBox中的hello被改成了“哈哈!!”



这样修改在重新载入后就会失效。如果想保存到应用程序

选中改过的部分,右键选择复制到可执行程序


图片8




在弹出的窗口中右键选择  备份-->保存数据到文件即可


图片9










billvsme
关注
  • 4
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【愚公系列】2023年06月 逆向分析之Ollydbg(基本介绍和使用
时光隧道
09-30 4万+
Ollydbg是一个x86体系结构的反汇编器和调试器,它是一款非常受欢迎的调试工具,通常用于软件逆向工程和漏洞发现过程中。可以反汇编并调试x86二进制文件支持多种反汇编风格,如汇编、C、Pascal等支持多种调试功能,如单步执行、断点、内存查看和修改等可以在不影响原始代码的情况下修改程序内容,并重新运行程序打开Ollydbg并加载要调试的二进制文件设置断点,例如在特定的指令处停下来或在某个内存位置处停下来运行程序并观察断点何时触发在程序暂停时查看寄存器、堆栈、内存和其他相关信息。
ollyDbg学习笔记
11-10
破解三种方法: 1.字符串查找 2.调用栈,运行程序,然后暂停,按下alt+k 3.用exe分析器,查找对话框的值,然后在OD里查找push 0x* (18,19) 实用技巧 1.内嵌补丁(堆栈不平衡时,可借助插件 17) ...3.看第19集笔记
Ollydbg 入门、使用 Ollydbg 从零开始 Cracking、玩玩破解,写给新人看
热门推荐
freeking101的博客
09-28 2万+
OllyDBG 入门、使用OllyDbg从零开始Cracking
网络安全最全OllyDBG 入门系列(一)-认识OllyDBG_ollydbg 1,2024年最新牛皮轰轰
最新发布
2301_82257383的博客
05-14 768
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
OllyDbg使用笔记
52CRACKING
04-28 384
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
OLLYDBG使用笔记
hutao1101175783的专栏
04-22 1042
F2 断点 F3载入程序 F4运行到光标处 F7单步步入 F8单步步过 F9运行 Ctrl+F2重新载入 分号: 写注释 Ctrl+G 查询表达式 CTRL+F9返回到被调用之前的位置 点击窗口上的B跳到断点窗口 点击C跳到CPU窗口 void A(a,b,c); //将函数参数从左往右推入栈中 push c push b push a 然后再调函数地址 Call A 修改字符串时,后面要加00,字符串默认是以00结尾的 获取文本框的内容的API: GetDlgItemTextA ...
ollydbg使用笔记
hutao1101175783的专栏
08-11 326
F2 断点 F3载入程序 F4运行到光标处 F7单步步入 F8单步步过 F9运行Ctrl+F2重新载入分号: 写注释Ctrl+G 查询表达式CTRL+F9返回到被调用之前的位置点击窗口上的B跳到断点窗口点击C跳到CPU窗口void A(a,b,c);//将函数参数从左往右推入栈中push cpush bpush a然后再调函数地址Call A修改字符串时,后面要加00,字符串默认是...
OllyDbg笔记-Olly Advanced插件使用
IT1995的博客
12-27 6147
将插件导入后 这样就可以实时保存
OllyDbg 使用笔记 (四)
qq_18059143的博客
05-05 294
参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 RegisterMe程序下载地址:http://pan.baidu.com/s/1gd3l4XH 这个RegisterMe程序,运行前和运行后都会有neg窗口。破解目标,去除这个两个窗口。 用OD直接打开这个程序,我们会发现出错。也可能OD会卡死。 因为这个程序的PE文件被故意修改了。 我们先...
OllyDbg 使用笔记 (十八)
billvsme的专栏
09-08 1415
OllyDbg 使用笔记 (十八) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 这次这个程序跟原来的程序不一样,它会对自身的代码进行加密解密。 程序运行前有一个nag窗口,破解目标去除这个nag窗口。 图片1 OD加载这个程序,搜索nag窗口的文字。可以找到: 图片2 但是在此处下断点后,重新运行程序,发现程序没有在下断点的地方停下来。分析可以知道,这个程序有些狡诈,我们搜到的那个貌似产生nag窗口的代码可能是用来骗我们的。真正的代码可能被加密了
调试工具OllyDbg学习笔记
weixin_47495230的博客
01-21 1029
调试工具OllyDbg(修改Messagebox的标题)
ollydbg软件,俗称OD
07-04
ollydbg(OD)是一款著名的Windows平台上的反汇编与逆向工程工具,因其用户友好的界面和强大的功能而被广大逆向分析者所喜爱。它主要用于理解、调试和修改二进制程序,尤其是在软件安全、漏洞研究和恶意软件分析领域...
OllyDbg完全教程.zip
09-16
OllyDbg完全教程
win32 汇编笔记精华
07-03
5. **调试技巧**:学会使用调试工具如OllyDbg、Windbg进行汇编代码的调试。 **四、实践应用** 1. **驱动开发**:Win32汇编在驱动程序开发中扮演重要角色,因为驱动通常需要对硬件进行直接控制。 2. **性能优化**...
汇编手册笔记.zip
04-26
《汇编手册笔记》是一个关于汇编语言学习的资源包,包含了两部分核心内容:《汇编手册1.pdf》和《汇编手册2.pdf》。汇编语言是计算机科学的基础,它是一种低级编程语言,直接对应于机器指令集,对于理解计算机底层...
PE文件结构(五)基址重定位
billvsme的专栏
10-07 6706
参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 基址重定位 链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo
PE文件结构(三) 输入表
billvsme的专栏
10-03 4426
PE文件结构(三) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输入表 输入函数,表示被程序调用但是它的代码不在程序代码中的,而在dll中的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存中的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存中正的地址联系起来。输入表(导入表)就是用来保存这些函数的信息的。 在 IMAGE_OPT
ollydbg使用教程
09-03
OllyDbg是一款用于调试和分析Windows可执行文件的工具。使用它可以帮助开发人员理解程序的运行方式,以便进行错误修复和代码优化等工作。 要开始使用OllyDbg,你可以按照以下步骤进行操作: 1. 下载和安装OllyDbg:你可以从OllyDbg的主页(http://home.t—online.de/home/Ollydbg)下载最新版本的OllyDbg,并按照安装向导进行安装。 2. 启动OllyDbg:你可以通过命令行指定可执行文件,也可以从菜单中选择,或直接拖放可执行文件到OllyDbg中。另外,你还可以重新启动上一个被调试程序,或者挂接(Attach)一个正在运行的程序。OllyDbg支持即时调试,不需要安装,可以直接在软盘中运行。 3. 调试功能:一旦你打开了一个可执行文件,OllyDbg将会显示程序的汇编代码和相关的调试信息。你可以使用OllyDbg的各种功能来分析代码、设置断点、查看和修改寄存器和内存中的值,以及跟踪程序的执行流程。 4. 插件功能:如果你需要增加更多功能,你可以使用OllyDbg的插件。插件是一个DLL,可以通过OllyDbg的主页免费下载。插件可以提供额外的调试功能,例如反汇编插件、内存查看插件、脚本扩展等。 请注意,OllyDbg的插件是无法通过调试OllyDbg本身的方式来进行调试的,因为Windows系统不能在同一个应用程序中加载和运行两个可执行文件。 总之,OllyDbg是一款功能强大而灵活的调试工具,使用它可以帮助你分析和调试Windows可执行文件。你可以根据需要选择运行方式、设置断点、查看和修改内存值等。如果需要更多功能,可以考虑使用插件来扩展OllyDbg的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Ollydbg入门](https://blog.csdn.net/n3verl4nd/article/details/84443295)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值