win32反汇编初步探索及Onllydbg的使用

最新推荐文章于 2022-05-29 11:28:37 发布
最新推荐文章于 2022-05-29 11:28:37 发布
阅读量667 收藏 1
点赞数
分类专栏: 软件安全 文章标签: 反汇编 visual studio c语言 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fencecat/article/details/112093641
版权
实验项目win32反汇编
综合性实验2020年11月25日

一、实验综述

1.实验目的及要求

(1)掌握C语言定义全局变量的基本原理
(2)掌握Ollydbg分析工具的使用
(3)在C语言源代码中添加MessageBox代码来定位全局变量赋值语句
(4)分析OD中反汇编窗口及堆栈窗口代码,寻找反汇编代码中的赋值语句

2.实验仪器、设备或软件
Ollydbg
Visual Studio 2015
3.实验原理

(1)Ollydbg简介
Ollydbg是汇编级的调试器,我们使用的VS是源码级的。
Ollydbg主要有以下五个窗口:
反汇编窗口:显示被调试程序的反汇编代码(地址栏、HEX数据栏、汇编指令栏、注释栏)
寄存器窗口:显示当前所选栈线程的CPU寄存器的内容
信息窗口:显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字符串等
数据窗口:显示内存或文件的内容
堆栈窗口:显示当前线程的堆栈
(2)MessageBox简介
MessageBox是一个库函数,MFC经常使用的,这是在屏幕上弹出一个带OK按钮的对话框。

二、实验过程(步骤过程、数据记录)

1.步骤

(1)使用VS2015创建项目LESSON 1(我的路径为F:\OD反汇编\LESSON 1)在项目的源文件下新建项001.c文件并写入以下代码;

#include<Windows.h>
int aaa = 0;
int main()
{
	aaa = 0x778899;
	return 0;
}

在这里插入图片描述
(2)选择release配置,vs中的工程有debug和release两个版本:

  • Debug通常称为调试版本,通过一系列编译选项的配合,编译的结果通常包含调试信息,但是不做任何优化(性能有影响),目的是为开发人员提供强大的应用程序调试能力,也就是说只有在Debug模式下,我们才可以使用vs所提供的所有的程序调试功能,比如:单步调试中将光标移至变量处即可以获取该变量的实时数据。
  • Release通常称为发布版本,是为用户使用的,一般客户不允许在发布版本上进行调试,在Release模式下也无法使用vs所有的调试功能。所以不保存调试信息,同时,它往往进行了各种优化,以期达到代码最小和速度最优。为用户的使用提供便利。

在这里插入图片描述

(3)在源代码中写入命令:MessageBox(0, NULL, NULL, MB_OK);

在这里插入图片描述

注:系统调用MessageBox函数会在程序运行时弹出一个信息框,可以帮助定位源代码。

(4)保存源代码并编译链接运行,运行结果如下:

在这里插入图片描述
(5)此过程会在该项目路径下生成可执行文件(LESSON 1.exe)

在这里插入图片描述

(6)打开onllydbg,File->Open->在F:\OD反汇编\LESSON 1\Release路径下的LESSON 1.exe文件,显示页面如下:

在这里插入图片描述
(7)右键->Go to->Experssion,输入表达式:MessageBoxW进行查找。

  • MessageBoxW:一个Unicode字符集的提示框
  • MessageBoxA:一个ANSI字符集的提示框
  • 因为我们在VS2015中使用的一般都是Unicode字符集的,因此我们此处使用表达式:MessageBoxW,代码将跳转到MessageBox的汇编代码部分。

在这里插入图片描述
(8)定位到MessageBox处;快捷键F2(设置断点),设置断点的地址部分会显示红色高亮;

在这里插入图片描述

(9)快捷键F9让程序执行到汇编指令部分,执行部分会显示紫色线条。

  • 代码中main函数调用了MessageBox函数,因此MessageBox函数返回会返回给main函数

在这里插入图片描述
(10)在右下角的堆栈窗口会显示函数调用,在堆栈窗口选中函数调用语句,回车,看到反汇编窗口代码跳转到了main函数。下图中紫色选中部分就是main函数部分(OD中已经用一个中括号括了起来)。

在这里插入图片描述
(11)从main函数中,我们可以找到自己编写的C语言程序对应的汇编代码。
在这里插入图片描述
鼠标选中的就是我们对全局变量的赋值,赋值的话,他会翻译为转移指令

2.数据记录

在汇编语言中,实验中C语言的赋值语句对应的汇编代码为:

mov dword ptr [aaa],778899

三、结果讨论与分析

1.实验结果

在Ollydbg调试软件中成功找到了C语言源码对应的反汇编代码,明白了C语言中赋值语句对应的汇编指令。

2.分析总结

为了熟悉Ollydbg的软件的使用,小组展开讨论,了解并熟悉了该软件的使用方法,以及如何使用一些快捷键来提高使用效率。
下面是OD的一些常用快捷键:

打开一个新的可执行程序 (F3)
运行选定的程序进行调试 (F9)
暂时停止被调试程序的执行 (F12)
单步进入被调试程序的 Call 中(F7)
步过被调试程序的 Call (F8)
跟入被调试程序的 Call 中 (Ctrl+F11)
跟踪时跳过被调试程序的 Call (Ctrl+F12)
执行直到返回 (Ctrl+F9)
显示记录窗口 (Alt+L)
显示模块窗口 (Alt+E)
显示内存窗口(Alt+M)
显示 CPU 窗口 (Alt+C)
显示补丁窗口 (Ctrl+P)
显示呼叫堆栈 (Alt+K)
显示断点窗口 (Alt+B)
打开调试选项窗口 (Alt+O)

虽然有些步骤比较快的能够帮助我们定位函数或变量,但建议使用单步运行来分析程序执行路径,关注函数跳转 ,跟踪变量取值。这样可以更好的理解汇编语言与高级语言的转化,以及相关函数的调用过程。

Zkaisen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【愚公系列】2023年06月 逆向分析之Ollydbg(字符串、WindowsAPI搜索)
时光隧道
09-30 4万+
Ollydbg是一个x86体系结构的汇编器和调试器,它是一款非常受欢迎的调试工具,通常用于软件逆向工程和漏洞发现过程中。可以汇编并调试x86二进制文件支持多种汇编风格,如汇编、C、Pascal等支持多种调试功能,如单步执行、断点、内存查看和修改等可以在不影响原始代码的情况下修改程序内容,并重新运行程序打开Ollydbg并加载要调试的二进制文件设置断点,例如在特定的指令处停下来或在某个内存位置处停下来运行程序并观察断点何时触发在程序暂停时查看寄存器、堆栈、内存和其他相关信息。
OllyDbg插件源代码
07-12
OllyDbg的许多插件的 C 语言源代码,
逆向工程01
weixin_44827677的博客
05-29 442
逆向工程学习,ollydbg查找main函数,打补丁方式修改字符串。
OllyDBG 入门系列(一)-认识OllyDBG
Tisty的兵工厂--新Blog:http://www.UbuntuSky.cn
03-27 1376
导读:  <!--google_ad_client = "pub-7058131363132249";/* 468x15, 创建于 08-6-3 */google_ad_slot = "4187223796";google_ad_width = 468;google_ad_height = 15;//--> <script type="text/javascript"
Ollydbg 入门、使用 Ollydbg 从零开始 Cracking、玩玩破解,写给新人看
热门推荐
freeking101的博客
09-28 2万+
OllyDBG 入门、使用OllyDbg从零开始Cracking
win32 exe 汇编
04-30
《深入理解Win32 EXE汇编技术》 在计算机科学领域,汇编是将机器语言程序转换为其原始的汇编代码的过程。对于Windows操作系统中的32位可执行文件(EXE)来说,Win32 EXE汇编是一项重要的技术,它在软件逆向...
汇编语言-使用win32汇编编写的加减计算器.zip
最新发布
02-22
本资源“汇编语言-使用win32汇编编写的加减计算器.zip”提供了一个使用Win32汇编语言编写的简单加减计算器程序的示例,这对于学习汇编语言和理解操作系统接口具有重要意义。 1. **汇编语言**: 汇编语言是面向机器的...
win32汇编教程
09-06
win32汇编教程。汇编基础。 本帮助文件由yyc个人整理后出版,内容全摘自网络。版权归实际作者所有。 为了让网友们能更好的学习Win32汇编编程,于是我为大家将网上的资料整理成一个帮助文件。 本帮助文件包括:...
小巧的win32汇编工具
04-02
小巧的汇编工具. 如果这款不符合你的要求, 我还上传一款有界面的汇编工具, 请访问我的空间.
Win32汇编WinHexv19.3中文免费版.zip
05-26
标题中的“Win32汇编WinHexv19.3中文免费版”指的是一个针对Windows 32位操作系统设计的汇编工具WinHex的特定版本,版本号为19.3,并且是中文版的免费软件。WinHex是一款强大的十六进制编辑器,它不仅能够用于...
ollydbg(od吾爱破解最新版)+多款脱壳脚本 目前破解最强工具!
04-07
ollydbg(od吾爱破解最新版)+多款脱壳脚本 ,目前破解最强工具!
onlydebug 常用断点
12-13
onlydebug 常用断点.内附详细说明
only debug (OD)软件
03-17
很好用的OD软件,灵活性高,很适合大家使用
OllyDBG v2.01 带插件
01-03
OllyDBG v2.01,用于调试程序的工具,汇编程序员必备工具。
OllyDbg 使用笔记 (一)
aoe41606的博客
05-02 179
OllyDbg 使用笔记 (一) 參考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 ollydbg下载地址:http://tools.pediy.com/debuggers.htm hello.exe下载地址:http://pan.baidu.com/s/1c0iYQOC 一、OllyDbg基本界面 图片1 ...
OllyDebug调试技巧
eli的博客
11-26 1226
F2下断点,Alt+B打开断点编辑器,可编辑所有下过的断点,空格键可快速切换断点状态。 当位于某个Call中,这时想返回到调用这个Call的地方,可以按Ctrl+F9快捷键执行返回功能。这样OD就会停在遇到的第一个返回命令(Ret, Retf) 如果跟进系统dll提供的api函数中,此时想返回到应用程序领空里,可以按快捷键Alt+F9执行返回到用户代码命令 领空,实际上就是指在某一时刻,CPU执行的指令所在的某段代码的所有者。如004014F7这类地址一般是可执行文件领空,7C8114AB这类大地址一
online debug注意点
weixin_40317570的博客
09-23 221
ARRAY_I定义:run()中直接给定大小有限制,不规则,大概是300000-499999之间。两个解决办法:①用resize限制大小②将定义放到run()前面 pattern修改后不能保存:RDI_configure文件中,参数SETUP_UPTODATE赋值修改为false。解释如下:Specify this option to TRUE to have NO * (asterisk) in the setuptool; or to FALSE to have * in the setuptool..
Ollydbg简易教学
b1ackc4t的博客
08-25 7911
Ollydbg介绍 Ollydbg(简称OD)是Windows平台下Ring3级的程序调试利器。程序调试有静态调试和动态调试两种。静态调试是指将程序源代码编译成可执行程序之前,用手工或编译程序等方法对程序源代码进行测试,来查找和修正程序中的语法错误和逻辑错误。动态调试则是在可执行程序的运行过程中,来查找和修正程序中的语法错误和逻辑错误。随着系统安全与逆向工程的不断发展,程序调试已经成为信息安全爱好者所必备的一种技术。OD结合了静态调试和动态调试的方法,功能强大,已经成为了Windows平台...
OD(Ollydbg)简介
am_03的博客
08-28 8457
ollydbg简介: Ollydbg 通常称作OD,是汇编工作的常用工具,OD附带了200脱壳脚本和各类插件,功能非常强大,可以过SE,VMP3.0,深受逆向圈内人士的喜爱 OD,是一个汇编工具,又叫OllyDebug,一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3 级的调试器,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用OllyDebug。 这里面地
Win32汇编语言程序设计与API调用解析
Win32汇编语言程序设计是一种在Windows操作系统下进行编程的技术,通过详细剖析win32汇编程序设计可知,其结构包括汇编程序的指令集、内存模式和参数传递规则的设置,以及包含已初始化数据、未初始化数据、常数声明...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zkaisen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值