OllyDbg 使用笔记 (十九)

最新推荐文章于 2024-03-28 10:02:34 发布
最新推荐文章于 2024-03-28 10:02:34 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 加密与解密 文章标签: OllyDbg 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/billvsme/article/details/39156099
版权

OllyDbg 使用笔记 (十九)


参考

书:《加密与解密》

视频:小甲鱼 解密系列 视频


反调试


先看看这四个程序。(下载地址:http://pan.baidu.com/s/1pJCzABp)

它们自己运行时都没有问题,都显示被注册信息 “You really did it! Congratz it",但是一到OD中运行就会出现未注册或者报错。

这四个程序都对OD进行了反调试。


它们都用了IsDebuggerPresent这个API函数来判断是否程序被调试器调用。


可以先看看ReverseMe.A程序,正常运行时会出现“You really did it! Congratz it"窗口,但是OD运行会出现”Keyfile is not valid.Sorry.“窗口。OD加载程序,F8单步,可以发现call 004010FB产生未注册窗口。

图片1



在call 004010FB下断点,程序运行程序,按F7进入call 004010FB,查看004010FB的代码:

图片2




函数通过IsDebuggerPresent这个API判断是否使用OD调式程序,如果是eax = 1,je   short 004010E2  实现跳转,产生”Keyfile is not valid.Sorry.“窗口。可以直接把je   short 004010E2 改成nop 就可以去除反调试。其它三个ReverseMe都大同小异。



再来看看Debugger Detected这个程序(下载地址:http://pan.baidu.com/s/1WuD4),如果不用英文的OD打开它,按下Verify会出现”Debugger NOT detected!!“窗口;如果用英文的OD打开它会产生一个ERROR窗口写“着Your debugger is detected!!!”。

用英文OD打开它,可以看到程序开头就是一个DialogBoxParamA函数创建 模态对话框。

图片3



其中0040108C是这个模态对话框的过程函数。


在0040108C下断点,按F9运行到0040108C处,按F8单步调试。

可以发现,当第二次运行0040108C时,在 call    004011CB 会产生ERROR窗口。在call    004011CB下断点,重新运行,跟进。

可以发现call    004011CB其实是查看当前系统所有的进程,搜索所有进程中的是否存在叫“OLLYDBG.EXE”的进程,如果有就产生ERROR窗口。

图片4























billvsme
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态分析工具OllyDbg学习笔记(一)-入门
byteway的专栏
03-22 4225
没有耐性学不好逆向!!! OD常用快捷键: f2:断点 f3:打开文件 f4:执行到光标 f5:窗体大小话 f6:窗体切换 f7:单步步入 f8:单步步过 f9:运行(到断点停下) 组合快捷键: ctrl+f2:重启调试程序 ctrl+f7:自动单步步入 ctrl+f8:自动单步步过(esc暂停) ctrl+G:转到地址 ctrl+N:找到调用的API地址 ctrl+f9:执行到返回(一般是
OllyDbg使用学习 笔记
Fly Follow the Heart
12-31 4772
1. 运行命令:         F7 -- 单步执行,遇到Call跟进         F8 -- 单步执行,遇到Call跳过,不进入         F9 -- 运行起来,相当于Visual Studio的F5         Ctrl+F9 -- 运行到本函数结束(Ret指令后)         Alt+F9 -- 跳出系统调用,回到应用程序中         
ODbg(windows调试工具)
02-23
一款非常好用的 windows下的调试工具
ODBG常用快捷键总结
随心散人专栏
11-25 903
Ctrl+N  输入表查看。一般在没加壳的程序中能够解析出来。实践过程中,可快速定位到一些常用API,然后将其作为突破口。Alt+M 内存查看。能快速定位不同模块的区段,能够设置某个模块的访问断点。Alt+Ctrl+G能直接跳转到某地址。Ctrl+B能查看设置的断点。W能查看窗口,并可设置消息断点。本人实践,感觉还是不好定位。K查看调用堆栈。E查看执行模块。
逆向实战第一讲,寻找OllyDbg调试工具的Bug并修复
weixin_30587025的博客
11-17 179
           逆向实战第一讲,寻找OllyDbg调试工具的Bug并修复 首先我们要知道这个OD的Bug是什么.我们调试一个UNICODE的窗口,看下其窗口过程. 一丶查看OllyDbg的Bug 1.1spy++查看窗口,确定是一个Unicode窗口 2.使用Olly附加 使用Od附加之后,点击窗口,发现获取的值是错误的.所以判断Od的Bug是针对Unicode窗口,调...
ollydbg(od吾爱破解最新版)+多款脱壳脚本 目前破解最强工具!
04-07
ollydbg(od吾爱破解最新版)+多款脱壳脚本 ,目前破解最强工具!
ollyDbg学习笔记
11-10
破解三种方法: 1.字符串查找 2.调用栈,运行程序,然后暂停,按下alt+k 3.用exe分析器,查找对话框的值,然后在OD里查找push 0x* (18,19) 实用技巧 1.内嵌补丁(堆栈不平衡时,可借助插件 17) ...3.看第19集笔记
【加解密学习笔记:第二天】动态调试工具OllyDbg使用基础介绍
sinat_35794373的博客
08-16 1036
首先说一下OllyDbg的界面,如下图所示 下面依次介绍: 反汇编面板:有四列,从左到右依次为:地址(Address),机器码(Hex dump),反汇编代码(Disassembly),注释(Comment) 信息面板:在进行动态跟踪时,信息面板窗口(Information window)将显示与指令相关的各寄存器的值,API函数调用提示和跳转信息提示等信息。 数据面板:显示程序在内存中的数据,...
【加解密学习笔记:第三天】OllyDbg断点介绍
sinat_35794373的博客
08-17 516
INT 3 断点 常用断点,使用“F2”快捷键设置的就是 INT 3 断点。这类断点采用修改机器码的方式,将设断处的代码更改为 “CC”,当程序运行至设断处时,会抛出一个异常,OllyDbg会捕捉到这个异常,使得程序暂停,然后恢复程序机器码。INT 3 断点可以设置无限多个,但是由于 INT 3 断点更改了机器码,所以很容易被目标软件检测到。 硬件断点 硬件断点与 DRx 调试寄存器有关,在Int...
OD必备版本-非常好用
08-14
OD必备版本,非常好用,找了好久才找到的,一直珍藏着。
OD (OLLYDBG1.10) 官网版
10-24
OD (OLLYDBG1.10) 官网版,程序反汇编工具,只要解压运行OllyDbg.exe即可。运行OllyDbg打开进程,主窗口显示反汇编清单。各窗口的外观属性如:“标题栏(bar)、字体(font)”等在右键菜单"界面选项(appearance)"里控制
ollydbg-v2.0
03-24
逆向分析工具ollydbg-v2.0,小而精巧的逆向分析工具 .exe逆向分析工具
ollydbg v2.1
12-27
简称OD,是一款具有可视化界面的用户模式调试器,结合了动 态调试和静态分析,具有强大的反汇编引擎,能够识别数千个被C和 Windows所使用的函数,
Debugger Detected供OD(Ollydbg)学习用(原版)
08-22
供OD(Ollydbg)学习用的Debugger Detected原版打包zip,也是小甲鱼OD使用教程第二十三讲中用到的程序。
探索OllyDbg脚本:逆向工程的利器
最新发布
gitblog_00097的博客
03-28 573
探索OllyDbg脚本:逆向工程的利器 项目地址:https://gitcode.com/dubuqingfeng/ollydbg-script OllyDbg 是一款经典的Windows平台上的16位和32位反汇编器及调试器,而Ollydbg-script 是一个集合了众多实用脚本的开源项目,旨在提升OllyDbg的功能和用户体验。本文将从技术角度出发,带你了解OllyDbg-script及其应...
ollydbg使用技巧
我的专栏
02-22 1105
Win7  od下断: bp   ws2_32.send
OllyDBG 1.10汉化第二版
weixin_30760895的博客
01-13 850
汉化第二版主要更新: 1、界面采用 BoOMBoX/TSRh2004 制作的美化界面,主要为了好看一点。 2、绝大部分句子都重新翻译过,力求做到准确。 3、配置文件中除字体、语法高亮、颜色这几个部分保留为中文外,其它的都恢复为英文。保留字体、语法高亮、颜色这几个部分为中文的目的是因为我发现若先运行过英文版配置好后,汉化版中对应这几个部分的一些菜单也会取原英文版配置中的英文字串,而不是汉化过的字串。...
Ollydbg之进程线程调试
ChuMeng1999的博客
10-15 1010
目录预备知识1.进程、线程实验目的实验环境实验内容和步骤实验步骤1.使用OD调试进程2.使用OD调试线程 预备知识 本实验要求实验者具备如下的相关知识: 1.进程、线程 进程(Process)和线程(Thread)是操作系统的基本概念,但是它们比较抽象,不容易掌握。从一定意义上讲,进程就是一个应用程序在处理机上的一次执行过程,它是一个动态的概念,而线程是进程中的一部分,进程包含多个线程在运行。 进程是一个“执行中的程序”。程序是一个没有生命的实体,只有处理器赋予程序生命时,它才能成为一个活动的实体,我们称其
OllyDbg快速查找指定代码四种方法
热门推荐
qq_27011361的博客
02-26 2万+
1.代码执行法:从“大本营”开始,F8执行,找到目标地点。重新调试找到目标函数。2.字符串检索法:鼠标右键-Search for-All referenced text strings,列出程序代码中引用的字符串。GOTO到目标地址即可。3.API检索法(1):鼠标右键-Search for-All intermodular calls,对应用分析推断使用函数进行查找。4.API检索法(2):对于...
OllyDbg 2.0 使用简介
本文档提供了关于OllyDbg 2.0的简要帮助,包括其主要功能、设置、使用技巧和注意事项。" 1. **版本差异**: OllyDbg 2.0相较于1.10版有了一些改进和变化。虽然没有具体列出这些差异,但通常更新可能涉及性能提升、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值