OD调试中的小技巧--一点点总结,大佬请绕行

最新推荐文章于 2024-01-25 16:59:01 发布
最新推荐文章于 2024-01-25 16:59:01 发布
阅读量4.1k 收藏 10
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/79200502
版权

一、找到OEP

这个本来没那么复杂,主要是之前实在是没有接触过,粘一下大佬的内容,最最基本的是单步调试法,其他的都是再这个基础上进行丰富的。内容复制如下

===============================================================    

     一、单步跟踪法
  脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。
  使用单步跟踪法追踪OEP的常见步骤:
  1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;
  2、向下单步跟踪,实现向下的跳转;
  3、遇到程序往上跳转的时候(包括循环),在回跳的下一句代码上单击并按键盘上的“F4”键跳过回跳指令;
  4、OD中的绿色线条表示跳转没有实理,不必理会,红色线条表示跳转已经实现;
  5、如果刚载入程序的时候,在附近有一个CALL指令,那么就要按键盘上的“F7”键跟进这个CALL内,不然程序很容易运行起来;
  6、在跟踪的时候,如果执行某个CALL指令后就运行,一定要按键盘上的“F7”键进入这个CALL之内再单步跟踪;
  7、遇到在popad指令下的远转移指令时,要格处注意,因为这个远转移指令的目的地很可能就是OEP。
=============================================================== 
  二、ESP定律法
  ESP定律法是脱壳的利器,是国外友人发现的。有了ESP定律,可以方便我们脱掉大多数的压缩壳。可谓是本世
最低0.47元/天 解锁文章
Assassin__is__me
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
OD调试工具 for 64 win7-C++工具类资源
09-22
OD调试工具,全名OllyDbg,是一款广泛使用的、基于Windows操作系统的16位和32位汇编级别的调试器。尽管它最初设计时并未支持64位系统,但随着技术的发展,针对64位环境的调试需求日益增加,出现了能够应用于64位...
Eugenio调试OD-20211027版.7z
11-19
Eugenio调试OD-20211027版
脱壳方法汇总
weixin_34217711的博客
05-19 552
一、脱壳基础知识  1、脱壳的概念  在第三章讲了加壳的概念,与加壳技术相对的就是脱壳技术了。脱壳就是将已经加壳的程序从壳剥离出来。既然能给程序进行加壳,那也会有相应的脱壳方法。尽管理在有些壳很难脱掉,但是脱壳技术也在不断的进步,而且在不断竞争发展状大。  2、OEP  OPE的意思就像它的名字一样容易理解。OEP就是原程序的入口点,也就是真正的入口点。  当被加壳的程序运行后,首先运行的是...
OD动态调试exe
wuwuliuliu0524的博客
08-21 495
从00401350开始,F8一行一行进行调试,运行到00401362,一部分二维码打印出来,调试括号最下面即可停止,并且在下一个括号开始重复操作,设置此处为新EIP-F8调试。分析exe文件,用ida打开,找到主函数main,分析主函数可以发现,main在判断之后调用了l02等函数。以此类推,l04函数在00401365,F8运行到00401377打印,直至打印完全。开始找l02函数,左侧双击l02,跳转至00401350,这里是开始的位置。之前一直卡,好不容易搞懂一点,记下来记下来。
脱壳简单了解
最新发布
akdelt的博客
01-25 1285
为了防止程序被非法修改或反编译,开发人员通常会在二程序加入一段如同保护层的代码,使得原程序代码失去了原本的面目,这段如同保护层的代码和自然界的壳在功能上十分相近,因此把这样的程序称之为“壳”。壳一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
OD使用笔记
輚至消亡
06-26 1225
Alt+F9: 直接从系统模块飞回程序模块 Ctrl+F9: 执行到当前函数的结尾 F4: 执行到选的语句处 内存断点的利用: 在数据上下的断点,如果读取或写入该数据则会断下来。 在内存窗口右键选Search, 在ASCII上输入内容,然后输入搜索内容 搜索到后,找到地址 下内存断点后点击运行即可 下断点的方法: 1. 命令方式 2. 搜索API设断点: 给API设置断点,一旦调用就会断下 搜索机器码 搜索Jmp命令 搜索命令 点..
OD最原始的用途------找程序BUG
liujiayu2的专栏
08-16 1793
哈哈,今天说说OD调试器原作者开发该软件的初衷,找程序BUG。当让这款软件现在主要用来做程序破解和写外挂,都是利用了OD方便快捷的逆向程序的好处。最近在看红狼远控源码,Gh0st,老地再也不能老的东西了,不过我认为,老不老不是关键,关键是我们能从学到很多东西,不想听我闲BB可以直接看正文,哈哈,从网上下载了一个Gh0st3.6的源码,源码是VC6写的,有三个工程,如下:   其svchos
OD插件-E-debug特征码识别工具
03-16
感觉对易语言分析有点帮助,...将插件与Esig文件夹放置于OD目录下 OD\plugin\E-debug.dll OD\plugin\esig即可 未加壳的程序,在text区段可直接分析. 加壳的程序,可待text区段解码后,CPU窗口到达text区段再开始分析.
OD插件-堆栈显示
03-16
OD插件——堆栈显示文,这是一个针对调试工具OllyDbg(OD)的专业扩展,旨在提高调试过程处理文字符的便利性。OllyDbg是一款广泛使用的动态二进制代码分析工具,常用于逆向工程和软件调试。在默认情况下,当OD...
小曾V3.4°-OD.rar
11-19
OllyDBG
通用脱壳工具
04-18
下面是我粗略测试后,能通过的壳列表,对于保护壳,有可能定位到OEP: ACProtect 1.09、1.32、1.41、2.0 AHPack 0.1 ASPack 102b、105b、1061、107b、1082、1083、1084、2000、2001、21、211c、211d、211r、212、212b212r ASProtect 1.1,1.2,1.23RC1,1.33,1.35,1.40,SKE.2.11,SKE.2.1,SKE.2.2,2.3.04.26,2.4.09.11 Alloy 4.1、4.3 alexprot 1.0b2 Beria 0.07 Bero 1 BJFNT 1.2、1.3 Cexe 10a、10b DragonArmor 1 DBpe 2.33 EPPort 0.3 eXe32Pack 1.42 EXECrypt 1 eXeStealth 2.75a、2.76、2.64、2.73、2.76、3.16(支持,但效果不是很好) ExeSax 0.9.1(支持,但效果不是很好) eXPressor 1.4.5.1、1.3(支持,但效果不是很好) FengYue'Dll unknow FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow MaskPE 1.6、1.7、2.0 MEW 11 1.0/1.2、mew10、mew11_1.2、mew11_1.2_2、mew5 molebox 2.61、2.65 morphine 2.7(支持,但效果不是很好) MKFpack 1 Mpress UnKown Mucki 1 neolite 2 NCPH 1 nsapck 2.3、2.4、3.1 Obsidium 1.0.0.69、1.1.1.4(For ALL 支持,但效果不是很好) Packman UnKown PCShrink 0.71 PC-Guard v5.0、4.06c PE Cryptor 1.5 PEBundle 2.3、2.44、3.0、3.2 PE-Armor 0.46、0.49、0.75、0.765 PECompact 1.x PEDiminisher 0.1 PELock 1.06 PEncrypt 4 pepack 0.99、1.0 PELockNt 2.01、2.03、2.04 PEtite 1.2、1.3、1.4、2.2、2.3 PKlite32 1.1 PolyCryptA UnKown peshield 0.2b2(支持,但效果不是很好) PESpin 0.3(支持,但效果不是很好)、0.7、1.1、1.3 PEX 0.99 PolyCrypt PE 1.42 PUNiSHER 1.5(支持,但效果不是很好) RLPack 1.1、1.21,1.6、1.7、1.8 Rubbish 2 ShrinkWrap 1.4 SDProtector 1.12、1.16 SLVc0deprotector 0.61(支持,但效果不是很好)、1.12 SimplePack 1.0、1.1、1.2 SoftSentry 3.0(支持,但效果不是很好) Stealth PE 1.01、2.1 Stone's PE Encryptor 1.13 SVKP 1.11、1.32、1.43 ThemidaDemo 1.0.0.5 teLock 0.42、0.51、0.60、0.70、0.71、0.80、0.85、0.90、0.92、0.95、0.96、0.98、0.99 Upc All Upack "0.1、0.11、0.12、0.20、0.21、0.22、0.23、0.24、0.25、0.26、0.27、0.29、 0.30、0.31、0.32、0.33、0.34、0.35、0.36、0.37、0.38、0.39、0.399" UPolyX 0.2、0.5 UPX "0.51、0.60、0.61、0.62、0.71、0.72、0.80、0.81、0.82、0.83、0.84、0.896、 1.0w、1.03、1.04、1.25w、2.0w、2.02、2.03、3.03、UPX-Scrambler RC1.x" V2Packer 0.02 VisualProtect 2.57 Vprotector 1.2 WindCrypt 1.0 wwpack32 v1.20、v1.11、v1.12 WinKript 1 yoda's cryptor v1.1、v1.2 YZPACK 2.0 yoda's Protector v1.02、v1.03.2、v1.03.3、v1.0b
OD使用经验
zacklin的专栏
07-12 7298
1.我的os是winXP,无法使用trw2000,而softice装了多次均未成功,还蓝屏死机多次.郁闷. 2.友好的gui界面,不像softice.可以边干活边听歌,不像softice,把整个os都挂起了.多用两次,连时间都不知道了. 3.强大的内存查看功能,再不用什么-d了,而且跳转方便,爽!一目了然. 4.强大的右键菜单功能 菜单: 文件: 1.其包括该菜单的下部
OD调试多线程
weixin_33953249的博客
06-08 538
OD只能单线程调试,也就是每次只能跟一条线程。以前我调试时常常迷迷糊糊就进入新线程,而有时又怎么也进不了。。。 最近大概明白了一点点。 方法:首先是设置StrongOD,如下图: 不要勾选“Skip Some Exceptions”, 还有OD本身里面的异常都不要勾选!很重要! 到新建线程里面有个参数是线程函数的指针,如下图所示: 首先是在上面...
脱壳的基本步骤
行走在黑暗中的狙击者
09-01 2694
脱壳的基本步骤 1.查壳(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程如出现代码异常需要先右击分析-->从模块删除分析) 3.脱壳--->用OD自带的Ollydump直接脱壳,但因此功能比较老bug较多,脱完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
【Windows 逆向】OD 调试器工具 ( OD 调试数据时硬件断点对应的关键代码 | 删除硬件端点恢复运行 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-16 1473
前言、 一、OD 调试数据时硬件断点对应的关键代码、 二、删除硬件端点恢复运行、
OD调试常见断点及原理(浓缩版)
weixin_44155363的博客
05-31 3044
OD调试时,常见的断点有int3、硬件断点、内存断点、消息断点、条件断点、条件记录断点等; 1、int 3断点 原理:改变断点地址处的第一个字节为CC指令,在OD不显示 缺点:容易被检测到,如检测MessageBoxA处CC断点 优点:可以设置无数个 OD快捷键F2就是利用这个特性 FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr=GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA"); Mark =
程序阻碍OD调试的方式1
积累点滴,保持自我
11-30 2990
一个简单软件阻碍OD调试的方式: 1. API函数 IsDebuggerPresent    确定调用进程是否由用户模式的调试调试。   语法   BOOL WINAPI IsDebuggerPresent(void);   参数   该函数没有参数   返回值   如果当前进程运行在调试器的上
OD调试器断点——消息断点
Onlyone_1314的博客
05-25 2062
Windows消息被广泛用于各种事件的通知上面,如果你想操作窗口或者控件(UI元素其实也是一种窗口,如:按钮,编辑框,工具栏,树形控件等)的话,给它发送消息即可。消息也可以来至于其他应用程序。你也可以通过消息来实现系统通知,移动鼠标,按下键盘上的某键等操作。 正如我们前面所讨论的,OD大部分的API函数我们可以使用普通CC断点来下断,但是少数检测CC断点的情况,使用消息断点会更加有效。消息断点在内核调试器SoftICE也称为BMSG。 Windows窗口程序至少有一个消息循环,消息循环有特定的API函数
脱壳基础教程
Aquarius_ego的博客
05-29 6853
软件脱壳相关介绍
CJ系列高速输出单元:CJ1W-OC_OA_OD,提升系统处理能力
CJ1W-OC/OA/OD是该系列的三种型号,它们的主要功能是接收来自CPU单元的输出指令,并执行外部设备的ON/OFF控制,以增强系统的整体处理能力。其,CJ1W-OD213和CJ1W-OD234是高速输出型号,具有极快的响应时间,分别...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值