OllyDBG 入门系列(一)-认识OllyDBG

最新推荐文章于 2022-04-20 21:53:33 发布
最新推荐文章于 2022-04-20 21:53:33 发布
阅读量85 收藏
点赞数
原文链接:http://www.cnblogs.com/webman/archive/2007/10/08/916770.html
版权
一、OllyDBG 的安装与配置

OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可:
此图已经缩小,点击察看原图。
OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考 TT 小组翻译的中文帮助:

反汇编窗口:显示被调试程序的反汇编代码,标题栏上的地址、HEX 数据、反汇编、注释可以通过在窗口中右击出现的菜单 界面选项->隐藏标题 或 显示标题 来进行切换是否显示。用鼠标左键点击注释标签可以切换注释显示的方式。

寄存器窗口:显示当前所选线程的 CPU 寄存器内容。同样点击标签 寄存器 (FPU) 可以切换显示寄存器的方式。

信息窗口:显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。

数据窗口:显示内存或文件的内容。右键菜单可用于切换显示方式。

堆栈窗口:显示当前线程的堆栈。

要调整上面各个窗口的大小的话,只需左键按住边框拖动,等调整好了,重新启动一下 OllyDBG 就可以生效了。

启动后我们要把插件及 UDD 的目录配置为绝对路径,点击菜单上的 选项->界面,将会出来一个界面选项的对话框,我们点击其中的目录标签:
http://bbs.pediy.com/upload/2006/4/image/od_dir.gif 
因为我这里是把 OllyDBG 解压在 F:\OllyDBG 目录下,所以相应的 UDD 目录及插件目录按图上配置。还有一个常用到的标签就是上图后面那个字体,在这里你可以更改 OllyDBG 中显示的字体。上图中其它的选项可以保留为默认,若有需要也可以自己修改。修改完以后点击确定,弹出一个对话框,说我们更改了插件路径,要重新启动 OllyDBG。在这个对话框上点确定,重新启动一下 OllyDBG,我们再到界面选项中看一下,会发现我们原先设置好的路径都已保存了。有人可能知道插件的作用,但对那个 UDD 目录不清楚。我这简单解释一下:这个 UDD 目录的作用是保存你调试的工作。比如你调试一个软件,设置了断点,添加了注释,一次没做完,这时 OllyDBG 就会把你所做的工作保存到这个 UDD 目录,以便你下次调试时可以继续以前的工作。如果不设置这个 UDD 目录,OllyDBG 默认是在其安装目录下保存这些后缀名为 udd 的文件,时间长了就会显的很乱,所以还是建议专门设置一个目录来保存这些文件。

另外一个重要的选项就是调试选项,可通过菜单 选项->调试设置 来配置:
http://bbs.pediy.com/upload/2006/4/image/od_debug_op.gif 
新手一般不需更改这里的选项,默认已配置好,可以直接使用。建议在对 OllyDBG 已比较熟的情况下再来进行配置。上面那个异常标签中的选项经常会在脱壳中用到,建议在有一定调试基础后学脱壳时再配置这里。

除了直接启动 OllyDBG 来调试外,我们还可以把 OllyDBG 添加到资源管理器右键菜单,这样我们就可以直接在 .exe 及 .dll 文件上点右键选择“用Ollydbg打开”菜单来进行调试。要把 OllyDBG 添加到资源管理器右键菜单,只需点菜单 选项->添加到浏览器,将会出现一个对话框,先点击“添加 Ollydbg 到系统资源管理器菜单”,再点击“完成”按钮即可。要从右键菜单中删除也很简单,还是这个对话框,点击“从系统资源管理器菜单删除 Ollydbg”,再点击“完成”就行了。

OllyDBG 支持插件功能,插件的安装也很简单,只要把下载的插件(一般是个 DLL 文件)复制到 OllyDBG 安装目录下的 PLUGIN 目录中就可以了,OllyDBG 启动时会自动识别。要注意的是 OllyDBG 1.10 对插件的个数有限制,最多不能超过 32 个,否则会出错。建议插件不要添加的太多。

到这里基本配置就完成了,OllyDBG 把所有配置都放在安装目录下的 ollydbg.ini 文件中。

二、基本调试方法

OllyDBG 有三种方式来载入程序进行调试,一种是点击菜单 文件->打开 (快捷键是 F3)来打开一个可执行文件进行调试,另一种是点击菜单 文件->附加 来附加到一个已运行的进程上进行调试。注意这里要附加的程序必须已运行。第三种就是用右键菜单来载入程序(不知这种算不算)。一般情况下我们选第一种方式。比如我们选择一个 test.exe 来调试,通过菜单 文件->打开 来载入这个程序,OllyDBG 中显示的内容将会是这样:
此图已经缩小,点击察看原图。 
调试中我们经常要用到的快捷键有这些:

F2:设置断点,只要在光标定位的位置(上图中灰色条)按F2键即可,再按一次F2键则会删除断点。(相当于 SoftICE 中的 F9)

F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。(相当于 SoftICE 中的 F10)

F7:单步步入。功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。(相当于 SoftICE 中的 F8)

F4:运行到选定位置。作用就是直接运行到光标所在位置处暂停。(相当于 SoftICE 中的 F7)

F9:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。(相当于 SoftICE 中的 F5)

CTR+F9:执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停,常用于从系统领空返回到我们调试的程序领空。(相当于 SoftICE 中的 F12)

ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。(相当于 SoftICE 中的 F11)

上面提到的几个快捷键对于一般的调试基本上已够用了。要开始调试只需设置好断点,找到你感兴趣的代码段再按 F8 或 F7 键来一条条分析指令功能就可以了。就写到这了,改天有空再接着灌。

转载于:https://www.cnblogs.com/webman/archive/2007/10/08/916770.html

diyao2772
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OllyICE 使用(一)
10-03 5322
OllyDBG 入门系列(一)-认识OllyDBG一、OllyDBG 的安装与配置OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可:OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考 TT 小
新人福利——OllyICE和xllydbg的区别和基本用法
最新发布
任鸟飞2217777779的博客
11-03 4860
OllyICE简称od,这是一款很古老的动态调试工具,在过去的许多年里,深受广大逆向程序员的喜好。但是由于些年的更新较少,并且在x64的版本上又没有大量的插件支持,所以程序员从使用od逐渐转为使用xllydbg,简称xdbg。当然在32位版本里,od的功能还是非常强大的,因为年头久,多种多样的插件也为其舔砖加瓦,甚至达到了几乎无可取代的地位。但是站在高处就要承受压力,随着名声越来越大,用户量越来越多,针对od的保护措施也层出不穷,这也给了xdbg一些机会。
codeforces 305 我太水了,加把劲锕。
热门推荐
binwin20
05-20 8万+
A:不难,题意能难搞懂。 题意:给定n个数,从中选出k个,使他们的个位,十位,百位,上的数字只有一个不是0。 思路:数据小,先判0和100,再判各位和十位。 #include #include #include #include #include #include #include #include #include #define LL long long #define
逆向分析基础 OllyDBG 入门系列(一)-认识OllyDBG
05-09
逆向分析基础 OllyDBG 入门系列(一)-认识OllyDBG
OllyDbg(OD)新手入门教程(出自看雪学院)
05-16
· OllyDBG 入门系列(一)-认识OllyDBG · OllyDBG 入门系列(二)-字串参考 · OllyDBG 入门系列(三)-函数参考 · OllyDBG 入门系列(四)-内存断点 · OllyDBG 入门系列(五)-消息断点及 RUN 跟踪 ...
ollydbg--tut
08-17
第一卷 OllyDBG入门系列第一篇 认识OllyDBG第二篇 字串参考第三篇 函数参考第四篇 内存断点第五篇 消息断点及RUN跟踪第七篇 汇编功能第二卷 OllyDBG技巧系列第一篇 OllyDBG实用技巧六则第二篇 OllyDBG之万能断点篇第...
新手OllyDbg入门文章包
01-18
· OllyDBG 入门系列(一)-认识OllyDBG · OllyDBG 入门系列(二)-字串参考 · OllyDBG 入门系列(三)-函数参考 · OllyDBG 入门系列(四)-内存断点 · OllyDBG 入门系列(五)-消息断点及 RUN 跟踪 ...
OllyDBG 入门系列教学--让你瞬间成为破解高手
weixin_33795833的博客
03-04 904
一、OllyDBG 的安装与配置OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可: img: [url]http://blogcup.com/b2/25949/upload/213868009.gif[/...
OllyICE汇编工具
01-29
OllyDBG 1.1(http://www.ollydbg.de ) 官方很长一段时间没更新,所以一些爱好者对OllyDBG进行修改,新增了一些功能或修正一些bug,OllyICE就是其中的一个修改版,取名OllyICE只是便于区分,其实质还是OllyDBG,版权归OllyDBG官方所有。 更新历史 2007.9.21 1.修正Themida v1.9.x.x检测OllyICE的Anti,配合HideToolz即可调试Themida v1.9.3.0以前版的加壳程序。修正过程: 1)将如下字符CPU,改成任意字符,如ICE。   000B2760 7273 0043 5055 202D 2000 5255 4E20 B8FA rs.CPU - .RUN ..   000B2770 D7D9 2025 692E 20B2 BDBD F825 7320 B7B5 .. %i. ....%s .. 2)将如下字符OllyICE,改成任意字符。   000C0890 004F 6C6C 7949 4345 0041 7267 756D 656E .OllyICE.Argumen   000C08A0 745B 2569 5D00 4172 6775 6D65 6E74 73 t[%i].Arguments 2.修正快捷键的一个bug 指令: push 401000 修正按Shift+回车键时,不能跳到代码窗口中401000的bug ================================================== 2007.2.16 1.将OllyDBG类标识改掉了,一些软件会通过这个检测OD(下面是OllyDBG主程序,1212121就是类名)。 000B6000 6E69 0049 434F 5F41 4141 4D41 494E 004D ni.ICO_AAAMAIN.M 000B6010 4149 4E4D 454E 5500 3132 3132 3132 3100 AINMENU.1212121. 2.优化了快捷键功能相关代码,去除了一个小bug。 =================================================== 2006.11.30 cao_cong修正了汉化版线程显示的错误 (详见http://bbs.pediy.com/showthread.php?s=&threadid=35679) ================================================== 2006.11.16 1.感谢dreaman修复Findlabel,Findname,Findnextname三个函数处理字符串会溢出的bug。 (详见:http://bbs.pediy.com/showthread.php?s=&threadid=33102) 2.改善sprintf函数显示某些浮点数会崩溃的bug(Themida 1.8.2.0以上版本利用此bug Anti-OD),这里的修复代码直接引用heXer的代码。 (详见:http://bbs.pediy.com/showthread.php?s=&threadid=33621) ================================================== 2006.10.15 感谢DarkBul告知SHIFT+F2条件窗口显示的bug及修复。 当在OD反汇编窗口按SHIFT+F2(或选择右键菜单->断点->条件)改变原条件断点时,设置条件断点的对话框会将原来的条件前加上0x14个字节。 ================================================== 2006.6.21 OllyICE.exe 和OLLYDBG.EXE新增实用的快捷键功能 ================================================== 2006.2.8 1. cao_cong修正了一些汉化错误。 2. 为Ollydbg增加二进制复制/二进制粘贴功能,对应的快捷键是: Ctrl+Shift+C 二进制复制 Ctrl+Shift+V 二进制粘 ================================================== 2006.2.11 cao_cong修正了一些汉化错误: 原来几个翻译为了保证不出bug,使用了空格填充以保证字串位置。今天发觉在菜单上显示时因加了空格比较难看,把原来汉化的部分内容恢复 为英文,中文菜单作一下挪移汉化,使菜单上中文显示看起来舒服一点。 快捷键命令 这些快捷键命令原版OllyDBG中没有,是OllyICE后加上去的,相信会大大提高操作的方便性。 1).二进制复制/粘贴快捷键 反汇编窗口:Shift+C/Shift+V 数据窗口:Shift+C/Shift+V 注意:数据窗口中,Shift+V时,不必选择块大小,会将剪粘板的数据全部粘贴上去。 2).查看数据 push A480033 //如果按回车键,则数据窗口中显示A480033数据,此行按Shift+回车键,即可跳到A480033地址; mov eax,401000 //此行按回车,则数据窗口中显示401000 数据 mov eax,[401000] //此行按回车,则数据窗口中显示401000 数据 mov [ebp-4], esp //此行按回车,则数据窗口中显示ebp-4的值(注意EIP必须指向当前行) mov eax, [esp+10]//此行按回车,则数据窗口中显示esp+10的值(注意EIP必须指向当前行) 3).数据窗口查看数据 (来源于heXer) 数据窗口: 00406000 00 10 40 00 00 00 00 00 00 00 00 00 CA 2E 40 00 .@.........?@. ^ 光标移到“00 10 40 00”第一字节00处,按回车,反汇编窗口显示401000;Shift+回车,数据窗口显示401000 4).堆栈窗口 (来源于heXer) 0012FF44 00401D8A //按回车,反汇编窗口显示0401D8A;Shift+回车,数据窗口显示0401D8A 0012FF48 00000000 5).数据窗口选择数据显示 当光标在数据窗口移动时,会显示出光标起始地址、结束地址,以及选中的块大小。 6).数据窗口切换到代码窗口 00406000 00 12 40 00 00 00 00 00 00 00 00 00 CA 2E 40 00 .@.........?@. ^ 光标移到“00 12 40 00”第一字节00处,按Ctrl+双击鼠标,则反汇编窗口显示00401200开始的代码 7).反汇编窗口或数据窗口取当前地址 快捷键:ctrl+X 例如: 004091C0 push ebp 004091C1 mov ebp, esp 004091C3 push -1 //此行按快捷键ctrl+X ,则将地址004091C3复制到剪粘板里 数据窗口同样操作。 0040DD40 55 8B EC 83 EC 08 53 56 57 55 FC 8B 5D 0C 8B 45 U 快捷键命令增加:kanxue 感谢heXer,CoDe_Inject给与的帮助与提示! 介绍 OllyICE.EXE与OLLYDBG.EXE同时做了如下修改: 1.窗口、类名等常见修改; 2.格式化字符串的漏洞[OutPutDebugString]补丁; 3.参考dyk158的ODbyDYK v1.10 ,自动配置UDD、PLUGIN为绝对路径; 4.参考nbw的"OD复制BUG分析和修正"一文,修正从内存区复制数据时,有时无法将所有的数据都复制到剪贴板的bug。 5.参考ohuangkeo“不被OD分析原因之一和修补方法”,稍改进了OD识别PE格式能力(可能仍报是非PE文件,但己可调试了)。 6.修正OllyScript.dll插件bpwm命令内存读写都中断的问题。 7.jingulong的Loaddll.exe,可以方便让OllDbg中断在dll的入口。 8.感谢DarkBul告知SHIFT+F2条件窗口显示的bug及修复。 9.感谢dreaman修复Findlabel,Findname,Findnextname三个函数处理字符串会溢出的bug。 10.改善sprintf函数显示某些浮点数会崩溃的bug,这里的修复代码直接引用heXer的代码。 11.该修改版,配合HideOD插件,可以很好地隐藏OD。 12.新增实用的快捷键功能 13.修正Themida v1.9.x.x检测OllyICE的Anti,配合HideToolz即可调试Themida v1.9.x.x加壳程序
OllyICE(v2.01b),ollyice使用教程,C/C++
11-01
OllyICE v2.01b 看雪专版修正汉化专业版 ,包含脚本。
OllyICE使用教程
03-16
OllyICE使用教程有图,OllyICE使用说明与示例 OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可
ollydbg和ollyICE和PEiD
12-15
内有ollydbg和ollyICE和PEiD,我在网上找的,有无毒自己判断吧
OllyDbg使用学习 笔记
Fly Follow the Heart
12-31 4728
1. 运行命令:         F7 -- 单步执行,遇到Call跟进         F8 -- 单步执行,遇到Call跳过,不进入         F9 -- 运行起来,相当于Visual Studio的F5         Ctrl+F9 -- 运行到本函数结束(Ret指令后)         Alt+F9 -- 跳出系统调用,回到应用程序中         
【逆向分析】查找程序入口点
qq_45972928的博客
04-20 2992
工具:OllyDBG 链接:https://pan.baidu.com/s/1ApV8xzmlI00TeokUF6cmZw?pwd=6ilp 提取码:6ilp 1、尾部跳转法 跳转指令位于代码的尾部且跳转到一个很远的位置 而且在这条指令的后面,会存在着非常多的0x00字节,也就是一大堆无意义的代码 进行跳转即可发现程序入口点 2、OD的插件法 点击:插件->OllyDump->Find OEP by setting Nop(Trace over) 会自动寻找入口点 3、利用p.
OllyDbg拾遗
吴立赛的博客
01-12 668
       寒假到来,又可以学习自己喜欢的东西啦,准备回顾一下学习过的逆向知识,算是回顾,也是重修,拾遗拾遗,非他所遗,己之所遗。        网上关于OD的知识很多,也很好,之所以自己要写一些是为了以后查询相对方便,也为了巩固自己的知识。以后如果有新内容...
OllyDbg入门指南:无源代码调试利器
OllyDbg入门完全教程 OllyDbg是一款备受推崇的、专为32位汇编语言设计的分析调试器,其强大之处在于它在缺乏源代码的情况下也能进行问题排查,尤其对于那些常规编译器难以解决的复杂问题具有独特优势。作为一款Ring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值