od笔记

最新推荐文章于 2022-04-06 02:51:21 发布
最新推荐文章于 2022-04-06 02:51:21 发布
阅读量949 收藏 1
点赞数
分类专栏: 综合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eidolon8/article/details/45843633
版权

od调试快捷键
这里写图片描述

alt+F9,在动态链接库无法断下时,用此键返回程序时断下。
alt+B,断点编辑器
ctrl+N,打开应用程序的导入表(输入表)
ctrl+F8,自动单步步过
Enter,查看被调函数内容
- ,返回上一级,+返回下一级

od出现假死现象:用od调试一些加壳程序, 程序跑到断点(包括硬件断点)时,od会出现假死现象。解决方法是打开配置文件ollydbg.ini,如果“Restore windows”是一个很大的值,现在只需要设“Restore window=0”即可

调试方式之:
1、
查找->所有模块间调用->输入要查找的api->右键 在每个调用到的xxxxx上设置断点
2、
ctrl+N -> 输入要查找 的api -> 右键 在每个参考上设置断点

EAX——– 扩展累加寄存器
EBX——–扩展基址寄存器
ECX——–扩展计数寄存器
EDX——–扩展数据寄存器
ESI ——–扩展来源寄存器
EDI ——–扩展目标寄存器
EBP——–扩展基址指针寄存器
ESP——–扩展堆栈指针寄存器
EIP——–扩展指令指针寄存器

以下3个寄存器有特殊的性质不可随意使用,其它均可随意用。
EBP:主要是用于栈和栈帧
ESP

最低0.47元/天 解锁文章
eidolon8
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取进程导入表函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
OD查看程序函数列表(CTRL+N)
hutao1101175783的专栏
03-18 1215
Ctrl+N
IAT表、导入表(滴水)
若面朝大海边竹妮春暖花开的博客
05-14 383
IAT表 我们用OD查看程序调用API时是4070BC存储的值 4070BC存储的是一个函数地址,这个地址是一个dll提供的空间 文件对齐和内存对齐相同 我们在文件查看70bc调用的地址是7604 7604存储的是MessageBox,是函数名称 可以看出程序运行前和运行后不同 是使用了动态链接库动态链接库只有在程序运行时才会加载到程序 如果调用是我们自己写的程序,地址都是写死的 为了防止dll文件重定位,所以调用dll函数时不能将地址直接确定 所有dll加载完后,在确定地址 导入表
OD数据库所有块表记录
weixin_42331112的博客
05-09 659
过滤无效TableRecord bool IsValidRecord(OdDbBlockTableRecordPtr pRecord) { if (pRecord.isNull()) { return false; } OdDbObjectIteratorPtr it = pRecord->newIterator(); for (it->start(); !it->done(); it->step()) { auto pEnt = it->entity();
OD-标志寄存器判断语句对照表(汇编标志位寄存器对照表)
墨痕诉清风的博客
02-25 1476
Yolo-FaceDetection-华为OD笔记
最新发布
05-29
【标题】"Yolo-FaceDetection-华为OD笔记"指的是基于YOLO(You Only Look Once)算法的面部检测技术在华为Object Detection(OD)平台上的应用笔记。YOLO是一种实时目标检测系统,它以其高效和准确度而闻名,尤其...
LeetCode刷题笔记
01-21
文章目录两数之和两数相加无重复字符串的最长子串寻找两个有序数组的位数 两数之和 给定一个整数数组nums和一个目标值target,请你在该数组找出和为目标值的那两个整数,并返回他们的数组下标。...
OD牛人专用
09-02
3. **教程资料**:高级用户可能会分享他们的学习笔记、教程或案例分析,帮助新手快速上手。 4. **脚本和样本**:可能包含了用OD解决实际问题的脚本示例,或者是一些已知漏洞的样本程序,用于练习调试技巧。 5. **...
OD驱动
10-09
OD驱动
OllyDbg完全教程
chenqunan3231的博客
03-09 647
SUB EDX,100 JB DEFAULTCASE JE CASE100 ; Case 100 DEC EDX JNE DEFAULTCASE ... ; Case 101 这个序列可能还包含一到两阶的转换表、直接比较、优化和其他元素。如果在比较或跳转的很深处,这就 很难知道哪是一个分...
城市轨道交通客流特征分析的主要指标
老骥伏枥
11-06 9000
城市轨道交通系统是为乘客提供运送服务的主要交通基础设施,作为服务对象的人是系统考虑的最重要的因素,本文将整理城市轨道交通特性分析涉及的主要客流指标,以期对城市轨道交通客流特性分析的相关概念有一个总体的了解和认识。     客流预测是城市轨道交通研究的主要课题,客流预测的结果将作为运营管理部分各项决策的依据,以下按照车站、线路、路网的结构分别说明客流预测结果的几个主要的定量指标 1 车站客流指
IAT表是如何实现的
zzx的博客
12-16 2300
我们知道当程序要调用系统dll时,会用到IAT表 具体是怎么实现的呢, 假设我们程序某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址是一个jmp [A],A存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A存放的数据,而不是A本身,A存放的数据
OD窗口介绍
qq_40591440的博客
11-24 3828
快捷键详情跳转 OD:窗口分为 菜单界面 反汇编窗口 提示窗口 寄存器窗口 数据窗口 堆栈窗口 菜单界面 简述: L:显示调试信息,在程序意外结束或者产生异常的时候,可以在这里看到原因 E:模块信息,可以用于查看当前程序内所有模块的基址 M:内存信息,可以查看到目标数据在什么区段,访问权限是什么 T: 查看线程,可以在进行多线程调试的时候,挂起和恢复指定的某个或所有线程 W:窗口界面,会识别到应用程序的窗口信息。 H:用于查看内核对象 C:分析的时候使用的主窗口,可以查看很多信息 /:补丁窗口,能够显
PE文件——导入表&导出表&函数覆盖
Woolemon的博客
04-06 6054
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位表位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
OD使用之查找 API的方法
nethm的专栏
09-26 9343
一    反汇编窗口,右键--查找--当前模块的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
一个查看导入表的工具
Dustfly的专栏
02-24 3489
推荐一个查看导入表的工具 作者:Sunline              lisunlin0@yahoo.com.cn 日期:2008年02月源代码下载:http://download.csdn.net/user/lisunlin0关键字: PE导入表, 完全重定位代码, 无导入表程序,        Show Import Table, relocable code
逆向工程实验
FFFde博客
01-18 2386
逆向工程实验1、PE头及导入表应用2、PE导出表分析及应用3、应用软件破解4、壳应用 1、PE头及导入表应用 1、PE可执行文件分析 1.1开发一个源程序 HelloWorld .asm,显示hello world。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.in
12.PE文件之导入表(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5446
目录 导入表定位以及解析(手动FileBuffer) 导入表定位以及解析(手动ImageBuffer) 代码定位导入表并打印其数据 导入表注入 导入表是PE数据组织的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入表数据,可以获得诸如PE文件的指令调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入表声明的动态链接库一并加载到进程的地址空间,并修正指令代码调用的函数地址. 在数据目录项一共有四种类型的数据与导入
OD injector
08-18
OD injector是指一种在软件运行时注入代码或者动态链接库(DLL)的工具,用于修改、扩展或者监控软件的行为。在引用的代码,import my_debugger和debugger.attach(int(pid))的部分可以看出是一个OD injector的使用示例。OD injector常用于软件逆向工程和软件调试过程,可以帮助分析软件运行时的行为并进行相关的修改。使用OD injector可以在软件运行时将代码或者DLL注入到目标进程,从而实现对目标进程的操控和监控。在引用的代码是一个DLL示例,通过在DLL的入口函数实现不同的操作,可以在注入或者撤回时弹出不同的消息框。有关OD injector的更多信息和使用方法可以参考相关的技术文档和工具说明。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Python灰帽子--黑客与逆向工程师的Python编程之道 笔记,过程问题解决](https://blog.csdn.net/u012763794/article/details/52174275)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [Angular 理解module和injector,即依赖注入](https://download.csdn.net/download/weixin_38690275/13137600)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值