Ollydbg介绍
Ollydbg(简称OD)是Windows平台下Ring3级的程序调试利器。程序调试有静态调试和动态调试两种。静态调试是指将程序源代码编译成可执行程序之前,用手工或编译程序等方法对程序源代码进行测试,来查找和修正程序中的语法错误和逻辑错误。动态调试则是在可执行程序的运行过程中,来查找和修正程序中的语法错误和逻辑错误。随着系统安全与逆向工程的不断发展,程序调试已经成为信息安全爱好者所必备的一种技术。OD结合了静态调试和动态调试的方法,功能强大,已经成为了Windows平台下普通应用程序的调试利器。
OD官网:http://www.ollydbg.de/(Windows 95、98、ME、NT、XP、Win7)。
OD汉化版请自行百度。
反汇编介绍
在计算机语言的进化过程中,是由低级语言(机器语言)向高级语言(C、C++、C#、Java等)逐步发展的,但是在实际的运行过程中,计算机能识别的只有机器语言(01代码)。所有高级语言在编译、链接、执行过程中转化为机器语言,并由CPU解释并执行。
机器语言不仅晦涩难懂,而且难以记忆,因此在计算机语言的进化过程中出现了汇编语言。汇编语言是一种与硬件紧密相关的程序设计低级语言,汇编语言使机器语言以便于记忆和理解的符号形式(又称为助记符)存在。
汇编是将汇编代码编译、链接成可执行文件的过程。反汇编则是将可执行文件还原成汇编代码的过程。反汇编技术常常应用在逆向分析、软件破解、漏洞挖掘等场景中,主要目的是逆向分析程序中的逻辑,然后改变程序的运行逻辑,达到更改程序执行的目的。
1. 熟悉OD的CPU窗口
打开OD。OD的默认主界面是CPU窗口。CPU窗口由5个子窗口(面板)组成,分别是反汇编窗口,信息窗口,寄存器窗口,数据窗口,堆栈窗口。图示OD现在并没有载入程序,因此所有窗口都是空的。
通过OD菜单–[文件]–[打开](或者快捷键F3)选择一个可执行程序文件(EXE、COM、DLL文件都可以)打开(这里打开OD的测试程序Test.exe)。可以看到OD加载可执行程序时的界面状态。
CPU窗口中的反汇编窗口用于显示被调试程序的代码。它有四个栏,地址栏[address]、十六进制数据栏[hex dump]、反汇编代码栏[disassembled commands]和注释栏[comments]。最后一栏可以改变显示模式为:相关源代码或运行统计[run profile],如果列标题栏可见的话,点列标题栏就可以改变显示模式。
地址栏[Address] - 显示距双击地址处的相对地址。再次双击基地址,则恢复为标准地址显示模式;
十六进制数据栏[Hex dump] - 设置或取消非条件断点;
反汇编栏[Disassembly] - 调用汇编器,修改命令;
注释栏[Comment] - 增加或修改与命令相关的注释。
CPU窗口中的信息窗口用于解码反汇编窗口中选中的第一个命令的参数,信息窗口也会显示隐含的参数。
CPU窗口中的数据窗口用于显示内存或文件的内容。可以从以下预处理格式中选择一种显示方式:字节[byte]、文本[text]、整数[integer]、浮点数[float]、地址[address],反汇编[disassembly]、PE头[PE Header]。
CPU窗口中的寄存器窗口用于显示和解释当前所选线程的CPU寄存器中的内容。该窗口同样允许修改寄存器,并可以跟进地址到其它CPU窗口。
CPU窗口的堆栈窗口用于显示当前线程的堆栈。当被调试程序暂停运行时,堆栈窗口一般会自动滚动将当前ESP指向的地址放在窗口的第一条。并且这个地址被高亮显示。在某些情况下禁止滚动会更方便一些,可以通过在堆栈窗口右键单击[锁定堆栈]来禁止堆栈自动滚动。
2. 熟悉OD的其他窗口
OD默认主界面是CPU窗口,因为在实际调试程序的过程中,用的最多的是CPU窗口,其他的许多窗口是辅助作用但是也非常实用。用OD打开测试程序Test.exe后,通过菜单->查看->可执行模块,打开可执行模块窗口(快捷键ALT+E)可以查看程序的模块调用信息。
其他的窗口还有,记录数据窗口(L)、内存映射窗口(M)、线程窗口(T)、窗口面板(W)、句柄窗口(H)、补丁窗口(/)、调用堆栈窗口(K)、断点窗口(B)、参考窗口(R)、RUN跟踪窗口(…)、源码窗口(S)。详细说明查看OD系统帮助(使用说明书)。
3.如何使用OD开始调试
在用OD打开测试程序Test.exe时,OD只是载入程序,并没有开始调试程序。在OD最右下角(堆栈窗口右下面)有一个黄色的状态提示窗,若显示为“暂停”,则表示OD处于暂停状态(例如程序尚未运行或者运行到断点位置)。此时,可以单击快捷菜单F9或者打开菜单[调试] – [运行]来运行程序。
用OD调试程序时,经常交换使用F7/F8/F9快捷键。其中F7表示[单步步入](遇到子函数时跟进到子函数内部,并停在子函数的第一条命令上),F8表示[单步步过](遇到子函数时直接运行完子函数),F9表示[运行]。
在运行Test.exe程序之后,可能会有程序异常导致程序中断。此时根据OD左下角的提示窗口信息可能需要Shift+F7/F8/F9来忽略异常继续执行程序。使用快捷键F9或者Shift+F9直到Text.exe程序入口点,此时OD的左下角信息提示窗口提示[程序入口点],表示已经运行到Text.exe的真实入口点。
继续使用快捷键F9运行程序,观察在不设置断点的情况下,OD调试器进入到Test.exe程序主界面的运行状态。
单击Test.exe主界面的[Close]按钮,观察Test.exe程序终止时OD的运行状态。
4.常用OD设置
OD调试器提供了非常多的调试设置选项。
打开OD菜单-[选项]-[界面],设置OD的外观。包含字体,颜色,代码高亮等设置,其中目录的UDD路径提供了OD默认保存的修改过的调试程序和备份用的调试程序,插件路径提供了OD的插件存放的路径。.\表示OD主程序所在目录的当前绝对路径。.\UDD即表示OD当前目录的UDD目录下。
5.常用OD快捷键
是否熟练使用快捷键是衡量使用者技术水平的一个重要标准。OD的快捷键相当丰富,当然我们经常用到的也不过那么十几个,请自行练习使用以下OD快捷键。
(1) Enter(回车键):将选中的命令添加到命令历史[command history]中,如果当前命令是一个跳转、函数或者是转换表的一个部分,则进入到目的地址;
(2) F2:在CPU窗口的反汇编窗口中,在选择的命令上开关INT3断点[Breakpoint],也可以双击该行第二列[HEX数据];
(3) F7:表示[单步步入](遇到子函数时跟进到子函数内部,并停在子函数的第一条命令上);
(4) F8:表示[单步步过](遇到子函数时直接运行完子函数);
(5) F9:表示[运行],在遇到断点后可以单击F9继续运行程序;
(6) Shift+F7/F8/F9:忽略异常,继续运行程序;
(7) Ctrl+F2:重新载入调试程序;
(8) Alt+F2:关闭调试程序;
(9) 空格键:汇编代码修改。可在CPU窗口中的反汇编窗口中以汇编代码修改实际代码或输入新代码,也可以在想要修改的代码处双击鼠标;
(10) Alt+B/C/E/K/L/M:显示断点窗口/CPU窗口/模块窗口/调用栈窗口/日志窗口/内存窗口;
(11) Alt+X:关闭OD;
(12) Ctrl+B:二进制(十六进制)搜索;
(13) Ctrl+E:二进制(十六进制)编辑所选内容;
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
