参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
一、OllyDbg基本界面
图片1
如果按窗口切换按钮出现下面的情况,乱了,只需要双击一个窗口让它全屏就行了。
图片2
二、部分快捷键介绍
F3 : 打开目标文件
F2 : 设置断点
F7:单步步进,遇到CALL跟进
F8:单步步过,遇到CALL路过,不跟进
F9:运行调试程序,直到运行到断点处
F4:运行调试程序,直到运行到光标处
Ctrl+F7/F8 相当于一直按F7/F8
Ctrl+F9 快速跳出函数
Alt+F9 快速跳出系统函数
Ctrl+F2 重新载入程序
在反汇编面板中
;键:写注解
空格键:改变当前的指令
数据面板中
Ctrl+G:打开地址窗口
空格:编辑数据
选中改过的部分,右键选择复制到可执行程序
图片8
在弹出的窗口中右键选择 备份-->保存数据到文件即可
图片9
Ctrl+N 打开程序的导入表。查看程序导入了那些函数,选中GetDlgItemTextA,右键 选择在反汇编窗口中跟随输入函数
调试遇到异常:
选项-->调试设置-->选择异常-->在同时忽略以下指定的异常或范围,并且点击添加范围,写入00000000~FFFFFFFF
字符查找:
1.CPU窗口的数据面版,按Ctrl+B,输入相应的字符串查找(有ASCII与UNCODE,如果找不到两个都试试)。
找到后直接修改保存
2.用OD打开程序,右键-->查找-->所有参考文本字串
查看堆栈调用:
暂停程序。按alt+k,查看k窗口。k窗口,是通过调动堆栈,判断哪些函数被调用过。
查看会标指令调用:
图片1
选中右键即可跳到call的地址。
想要找出call这个函数的地址,还可以选中004046E0,右键--〉查找参考--〉选定命令,即可看到call这个函数的地址