浅谈逆向——OD杂项(OD的使用4)

最新推荐文章于 2021-07-09 11:17:59 发布
最新推荐文章于 2021-07-09 11:17:59 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: 逆向工程 文章标签: OD 杂项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38684512/article/details/86650636
版权

浅谈逆向-OD杂项

Run trace

Run跟踪可以把被调试程序执行过的指令保存下来,以便了解之前发生的事情。该功能将地址,寄存器的内容,消息等记录到Run trace的缓冲区中。在运行之前,将缓冲区空间设置的较大一些,否则在执行指令太多时会造成缓冲区溢出(OD会自动丢弃旧纪录)。

可以使用快捷键ALT+O打开调试选项,跟踪标签页中进行设置。如果需要将数据保存在文件中,需要单击菜单功能项中的…,单击右键,执行记录到文件。

需要运行时,只需要单击调试->打开或清楚Run跟踪。打开它的缓冲区后,OD会记录执行过程中所有的暂停,使用小键盘的±号可以浏览程序的执行路线。OD会用实际的内存状态解释寄存器和栈的变化。

当反汇编窗口显示被调试程序领空时,在窗口右键快捷菜单栏中选择Run追踪->添加所有函数入口,检查每个可识别函数调用的次数。运行后可以在Run跟踪窗口中的右键菜单中执行统计模块命令,查看次数。

Hit trace

它的作用时让用户知道哪一部分代码被执行了,那一部分没有。OD的方法时:选中区域每条指令下断CC,中断时OD便去除,故此在使用Hit trace时不能再数据中设置断点。

当遇到转跳分支较多的代码时,需要了解执行路线,可以选中这段代码,然后单击右键快捷菜单Hit 追踪->添加选中部分。F9运行,OD会在已被执行的指令前用不同的颜色添加标记。 没有相关命令,使用Ctrl+A分析代码。

OD常见问题

1.乱码
OD将代码当作了数据处理,没有进行反汇编识别。
解决方法:

  • 右键->分析->分析代码 Ctrl+A
    分析->在模块中删除分析
    在UDD目录中删除相应UDD文件

2.快速回到当前程序领空
如果想快速回到当前CPU所在的指令处
解决方法:

  • 双击寄存器面板的EIP或者单击菜单栏C

3.OD修改EIP
解决方法

  • 将光标移动至需要修改的地址处,右键菜单在此处新建EIP
    Ctrl+*

4.UDD
OD把所有与程序或者模块相关的信息保存在单独的文件中,以便在模块重新加载时,继续使用。(标签,注释,断点,监视,分析数据,条件)

5.已经删除的断点,OD重新加载时依旧出现
解决方法:

  • 配置文件ollydbg.ini 中使Backup UDD files=1;

6.OD反汇编窗口输入push E000会提示未知标识符
无法正确识别字符是字母还是数字
解决方法:

  • 在字母前加0表示是数字

7.OD出现假死现象
OD调试加壳程序,运行到断点,OD就可能出现假死。
解决方法:

  • 打开配置文件,ollydbg.ini。如果Restore windows 是一个极大的值,就会设为0.

8.微调窗口显示
通过Ctrl+上下箭头对反汇编窗口或数据窗口翻动1字节。

9.复制到可执行文件时,提示错误信息“Unable to locate data in executable file”
修改的地方不再RawSize范围内,修改PE文件,使RawSize=VirtualSize

10.把call调用改成函数名形式
例如:

  • call XXXXXX 假设XXXXXX处是A函数,将光标停在该处,按Shift+;会弹出一个标签框,在其中输入字符A,所有调用XXXXXX处的call指令都会变成call的形式。

11.设置OD为即时调试器
管理员身份运行OD,选项->实时调试设置->设置OD为实时调试器即可。

12.在右键快捷菜单中添加用OD打开
选项->添加到资源管理器右键菜单 即可,

他们说快写一首情歌
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新手逆向入门推荐-自用逆向OD【可过大部分检测-包括VMP3.1,se2.0.4等】
03-14
OD自带过检测插件以及驱动,可以过大部分壳代码检测 适合新手对一些检测繁杂的软件逆向使用
【游戏逆向逆向基础之OD使用和基础
最新发布
douluo998的博客
04-03 861
内存访问和内存写入,对该处内存地址有访问或则写入,因为该处是代码段,正常是不存在访问和写入的,所以在该处下此类型断点一般是错误的做法,但是有一种情况是需要这样做的,就是如果你修改了该处代码,又想知道该处是否有CRC等检测的时候,就需要在该处下内存断点了,我们说正常情况下代码段是不会有内存访问和写入的,一旦有的话9层就是检测了。动态调试,最重要的是下断点,当程序执行到我们下断点的位置的时候,被暂停下来,此时我们可以分析内存和寄存器以对程序进行分析。我们点了F9,程序依然是卡住的,没有办法运行起来。
OD逆向一个简单的工程实战
Peter的博客
07-09 1315
今天闲着没事干,找朋友要了一款简单的登录软件用来写这篇基础入门文章,这篇文章算是最基础的一个逆向工程的实战演示。软件逆向工程(Software Reverse Engineering)又称软件反向工程,是指从可运行的程序系统出发,运用解密、反汇编、系统分析、程序理解等多种计算机技术,对软件的结构、流程、算法、代码等进行逆向拆解和分析,推导出软件产品的源代码、设计原理、结构、算法、处理过程、运行方法及相关文档等。通常,人们把对软件进行反向分析的整个过程统称为软件逆向工程,把在这个过程中所采用的技术都统称为..
OllyDBG 入门系列(五)-消息断点及 RUN 跟踪
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
第二章——动态分析技术-OD常见问题
weixin_30500663的博客
11-21 685
1.乱码问题 当OD追踪程序时候,发现OD将代码解析成数据,从而没有反汇编识别,这是通过Ctrl+A来让OD重新分析代码,如果还是无法识别可以通过右键快捷菜单中的 或者删除UDD目录中删除对应的UDD文件 2.已经删除了断点,OD重新加载时候断点又重新出现 在配置文件ollydbg.ini中的相应内容改成“Backup UDD files=1” ...
OD 微调反汇编代码,显示隐藏的反汇编代码
VI___
05-05 595
ctrl + ↑ ctrl + ↓ 一次滚动一行指令。
OD的hit跟踪和run跟踪
liujiayu2的专栏
02-24 6549
OD的CPU窗里和查看菜单和调试菜单里面都可以看到相应的菜单,谈谈这些功能是干什么的。   1.hit跟踪是记录汇编指令运行脚印的,一个子程序可能会有很多跳转,这些跳转在程序实际运行中哪些跳转跳了哪些跳转没跳,哪些指令执行了哪些指令没执行呢?hit跟踪就是记录这个的。想看哪些代码是否执行,选中代码,右键“添加选择部分”,如果想检测一整个子程序可在该子程序任意位置右键菜单,点击“添
od粗跟踪和run跟踪
期待下集是个可爱梦儿
03-11 1677
<br />一、单步进入(F7)遇见CALL就进!进入该子程!行话:"跟进去"<br />单步跳过(F8)遇见CALL不进去!不去管子程的内部!第一次粗跟的时候常用!<br />执行到返回(ALT+F9)就是执行到该子程的返回语句!<br />单步执行与自动执行[Step-by-stepexecutionandanimation]<br />您可以通过按F7(单步步入)或F8(单步步过),对程序进行单步调试。这两个单步执行操作的主要区别在于:如果当前的命令是一个子函数,按F7,将会进入子函数,并停在子函数的
逆向分析三件套CE+OD+IDA
03-16
软件逆向分析工具包:CE用来定位数据,OD用来动态调试,IDA用来看代码 懂得自然懂
逆向编程 OD破解之路:跳过加密狗验证.rar
04-25
逆向编程 OD破解之路:跳过加密狗验证
od破盾内部,超强od逆向的福音
04-17
od破盾内部,超强od逆向的福音 已加入众多插件,得此一手,壳都没有
逆向实例程序配合 od使用
02-16
本教程将通过实例程序配合OD(OllyDbg)这款著名的动态调试工具,来探讨逆向工程的基本方法。 首先,我们需要了解OD(OllyDbg)。OD是一款16位和32位Windows应用程序的调试器,特别适合于逆向工程。它的主要功能...
OD -- 消息断点 RUN跟踪
ccx_john的专栏
02-28 1826
OD -- 消息断点 RUN跟踪 这一篇讲的是 消息断点和RUN跟踪的简单知识  这一篇没怎么看明白  大概使用知道了   怎么用不太清楚。 介绍本次软件特点输入后木有反应(纱布垃圾的。。哈哈) -- 消息断点 RUN跟踪" alt="学OD -- 消息断点 RUN跟踪" src="http://s10.sinaimg.cn/middle/906bb6a9nc61deb06a079&69
xx学OD -- 消息断点 RUN跟踪(下)
weixin_33757609的博客
07-04 191
接 学OD -- 消息断点 RUN 跟踪(上)按F9键(或者按CTR+F12组合键跟踪步过CTR+F11跟踪步入)让程序运行,再点击菜单查看->RUN跟踪,或者点击工具栏...
OD超详细快捷键
05-13 1188
<br /><br />无论当前的OllyDbg窗口是什么,这些快捷键均有效:<br /><br />Ctrl+F2 - 重启程序,即重新启动被调试程序。如果当前没有调试的程序,OllyDbg会运行历史列表[history<br />list]中的第一个程序。程序重启后,将会删除所有内存断点和硬件断点。<br />译者注:从实际使用效果看,硬件断点在程序重启后并没有移除。<br /><br />Alt+F2 - 关闭,即关闭被调试程序。如果程序仍在运行,会弹出一个提示信息,询问您是否要关闭程序。<br />
OD hit跟踪 run跟踪使用问题
zhangmiaoping23的专栏
08-26 1855
转:http://bbs.pediy.com/showthread.php?p=1044958 学习OD不久,现在使用HIT跟踪 run跟踪功能,在我的程序里碰到点问题,还请赐教 选了一部分代码添加到HIT跟踪,在选的代码处设置断点,程序运行到断点,按单步跟踪,当执行到第二个PUSH时,程序就退出。我换了个自己写的简单程序,也有这个问题,是不是我的OD设置有问题?还是程序问题问题?
OD学习笔记2-Run trace /Hit trace
weixin_30764883的博客
07-03 254
Run trace可以把被调试程序执行过的指令保存下来,了解以前发生的事件,它能把地址、寄存器的内容、消息等记录到Run trace缓冲区中,在运行Run trace前,要把缓冲区设置大些,否则执行的指令太多造成缓冲区溢出: 如果要把Run trace的数据保存到文件,在跟踪之前,打开Run trace窗口,鼠标右击执行Log to file即会弹出个文件保存框 需要运行Run t...
OD 的 Run Trace
LDWJ2016的博客
09-28 1829
1. Run trace ( 运行跟踪) 可以把被调试程序所执行过的指令保存下来。 2. Run trace 把程序运行过程中所执行指令的地址、寄存器的值、消息等保存到缓冲区中。 如果缓冲区设置过小,则当缓冲区     填满时,最早记录的数据会被覆盖。可在 “Optins / Debug options / Trace” 页中设置。 3. 把Run trace记录的数据保存到文件:在运行 Run ...
浅谈逆向——动态分析OD简介(OD使用1)
qq_38684512的博客
01-18 8831
浅谈逆向-动态分析之OD界面介绍OD的配置 界面介绍 A区域:view菜单功能项的快捷按钮 B+C+D+E+F: CPU窗口 (OD打开一个可执行文件后,会立刻加载,自动分析后并列出汇编代码,默认打开CPU窗口) B区域:反汇编面板窗口 (分为4列从左至右依次是Address,Hex dump,Disassembly,Comment) Address(地址):显示被双击行的相对地址,再次双...
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行过程中捕获关键的代码位置,帮助我们找到CrackMe程序的OEP(Original Entry Point),即程序的入口点。 在 [安全攻防进阶篇] 中还有关于逆向分析两个CrackMe程序的详细教程,包括逆向分析和源码还原的步骤。这些教程将帮助你理解逆向分析的基本概念和技巧,提升你的安全能力。 如果你想深入学习如何使用OllyDbg逆向CrackMe程序,可以参考这些教程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断](https://blog.csdn.net/Eastmount/article/details/107777190)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [逆向crackme之ESp定律脱壳](https://blog.csdn.net/qq_58970968/article/details/125357834)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值