OllyDbg调试器简单介绍

最新推荐文章于 2022-12-23 21:01:00 发布
最新推荐文章于 2022-12-23 21:01:00 发布
阅读量1.1k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40351988/article/details/87919880
版权

   准备工作:吾爱破解[LCG].exe

                     一小例子

  简单介绍一下OD的界面

基本操作:

   OllyDbg比较容易上手

Ctrl+F2 - 重启程序,即重新启动被调试程序。如果当前没有调试的程序,OllyDbg会运行历史列表[history

list]中的第一个程序。程序重启后,将会删除所有内存断点和硬件断点。

译者注:从实际使用效果看,硬件断点在程序重启后并没有移除。
Alt+F2 - 关闭,即关闭被调试程序。如果程序仍在运行,会弹出一个提示信息,询问您是否要关闭程序。

F3 - 弹出“打开32位.EXE文件”对话框[Open 32-bit .EXE file],您可以选择可执行文件,并可以输入运行参数。

Alt+F5 -

让OllyDbg总在最前面。如果被调试程序在某个断点处发生中断,而这时调试程序弹出一个总在最前面的窗口(一般为模式消息或模式对话框[modal message

or dialog]),它可能会遮住OllyDbg的一部分,但是我们又不能移动最小化这个窗口。激活OllyDbg(比如按任务栏上的标签)并按

Alt+F5,OllyDbg将设置成总在最前面,会反过来遮住刚才那个窗口。如果您再按一下Alt+F5,OllyDbg会恢复到正常状态。

OllyDbg是否处于总在最前面状态,将会保存,在下一次调试时依然有效。当前是否处于总在最前面状态,会显示在状态栏中。
F7 -

单步步入到下一条命令,如果当前命令是一个函数[Call],则会停在这个函数体的第一条命令上。如果当前命令是是含有REP前缀,则只执行一次重复操作。
Shift+F7 -

与F7相同,但是如果被调试程序发生异常而中止,调试器会首先尝试步入被调试程序指定的异常处理(请参考忽略Kernel32中的内存非法访问)。
Ctrl+F7 -

自动步入,在所有的函数调用中一条一条地执行命令(就像您按住F7键不放一样,只是更快一些)。当您执行其他一些单步命令,或者程序到达断点,或者发生异常时,自动步入过程都会停止。每次单步步入,OllyDbg都会更新所有的窗口。所以为了提高自动步入的速度,请您关闭不必要成窗口,对于保留的窗口最好尽量的小。按Esc键,可以停止自动步入。

F8 -

单步步过到下一条命令。如果当前命令是一个函数,则一次执行完这个函数(除非这个函数内部包含断点,或发生了异常)。如果当前命令是含有REP前缀,则会执行完重复操作,并停在下一条命令上。

Shift+F8 -

与F8相同,但是如果被调试程序发生异常而中止,调试器会首先尝试步过被调试程序指定的异常处理(请参考忽略Kernel32中的内存非法访问)。

Ctrl+F8 -

自动步过,一条一条的执行命令,但并不进入函数调用内部(就像您按住F8键不放一样,只是更快一些)。当您执行其他一些单步命令,或者程序到达断点,或者发生异常时,自动步过过程都会停止。每次单步步过,OllyDbg都会更新所有的窗口。所以为了提高自动步过的速度,请您关闭不必要成窗口,对于保留的窗口最好尽量的小。按Esc键,可以停止自动步过。

F9 - 让程序继续执行。
Shift+F9 -

与F9相同,但是如果被调试程序发生异常而中止,调试器会首先尝试执行被调试程序指定的异常处理(请参考忽略Kernel32中的内存非法访问)。

Ctrl+F9 -

执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。

Alt+F9 -

执行直到返回到用户代码段,跟踪程序直到指令所属于的模块不在系统目录中,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。

Ctrl+F11

-Run跟踪步入,一条一条执行命令,进入每个子函数调用,并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。

F12 - 停止程序执行,同时暂停被调试程序的所有线程。请不要手动恢复线程运行,最好使用继续执行快捷键或菜单选项(像 F9)。

Ctrl+F12 - Run跟踪步过,一条一条执行命令,但是不进入子函数调用,,并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。

 

拿一个简单的例子

运行它得到


在反汇编窗口右键-->中文搜索引擎-->智能搜索

可以看到例子的全部字符串

双击“flag错误,再试试?”

来到上面的je跳转下断点(关于跳转知识请学习一下汇编,这里不多介绍了)

输入flag之后 , OD会停下来· 咱们把je修改成jmp

使得程序直接跳转到成功

这种方法叫爆破法

下面进行算法的分析

看到请输入flag下面的十六进制数  与ASCII码进行比较得到

galf

leW{

emoc

_oT_

W_ER

dlro

}!

由于是小端方式存储  把字符反过来就好了

 

常用断点:

常用的断电有INT 3 、硬件断点、内存断点、消息断点等。

INT 3断点(快捷键F2)

执行一个INT 3断点是,该地址出的内容呗调试器用INT 3指令代替了 ,此时OD将INT 3 隐藏,显示出来的仍是中断前的指令。实际上,

显示的是 00401511 CC 00004100

硬件断点:

  硬件断电和DRx调试寄存器有关。在Intel CPU体系结构手册中可以找到DRx调试寄存器的介绍。

下硬件断点操作:在反汇编窗口右键-->断点-->硬件执行

取消硬件断点可以在菜单栏调试-->硬件断点中取消

硬件断点只有4个

原理是用DR0、DR1、DR2、DR3设定地址,并使用DR7设定状态。

硬件执行断点与CC的断点的作用一样,蛋硬件断点不会降至零首字节修改为“CC”所以难以检测

 

内存断点:

设置内存访问/写入断点,原理是对所设的地址赋予不可以访问/不可写属性,这样当访问/写入的时候就会产生异常。OD在截获一场后,比较异常地址是不是断点地址,如果是就中断。

操作方式:在反汇编窗口右键-->断点-->内存访问/写入

 

消息断点:

Windows本身是有消息驱动的,如果调试时没有合适的断点,可以尝试使用消息断点。

在菜单栏-->查看-->窗口 下断点

 

OD常用插件:

CmdBar

吾爱OD上配有

 

 

Hu4
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ollydbg之调试工具简单说明
ChuMeng1999的博客
10-15 1879
目录预备知识Ollydbg介绍PE文件介绍反汇编介绍实验目的实验环境实验内容和步骤实验步骤1.熟悉OD的CPU窗口2.熟悉OD的其他窗口3.如何使用OD开始调试4.常用OD设置5.常用OD快捷键 预备知识 Ollydbg介绍 Ollydbg(简称OD)是Windows平台下Ring3级的程序调试利器。程序调试有静态调试和动态调试两种。静态调试是指将程序源代码编译成可执行程序之前,用手工或编译程序等方法对程序源代码进行测试,来查找和修正程序中的语法错误和逻辑错误。动态调试则是在可执行程序的运行过程中,来查找和
x64dbg调试器
最新发布
图像学习之旅
06-25 1261
x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的反汇编调试软件之一。
Reverse | Ollydbg之调试工具学习
qq_42646885的博客
07-19 544
1、OD的CPU窗口 打开OD。OD的默认主界面是CPU窗口。CPU窗口由5个子窗口(面板)组成,分别是反汇编窗口,信息窗口,寄存器窗口,数据窗口,堆栈窗口。没有载入程序时,所有窗口都是空的。 通过OD菜单——>文件——>打开(或者快捷键F3)选择一个可执行程序文件(EXE、COM、DLL文件都可以)打开,可以看到OD加载可执行程序时的界面状态。 【1】CPU窗...
x64dbg-Plugin-Manager:x64dbg的插件管理器
04-09
x64dbg插件管理器 控制台示例 x64plgmnrc.exe -G“ C:\ x64dbg_root” //设置x64dbg的根路径 x64plgmnrc.exe -U //服务器更新列表 x64plgmnrc.exe -S //显示插件列表 x64plgmnrc.exe -i x64core //安装最新版本的x64dbg x64plgmnrc.exe -i AdvancedScript //安装AdvancedScript 如何在Windows上构建 安装Visual Studio 2013: : 为VS2013(x86)安装Qt 5.6.3: : 安装7-Zip: : 克隆项目:git clone --recursive 编辑build_win32.bat(检查VS_PATH,SEVENZIP_PATH,QT_PATH变量) 运行build_win32.
x64dbg反检测插件2017-1-21版
02-06
x64dbg反检测插件2017年1月21日版本
OllyDBG调试器
07-30
OllyDBG,ring3 由此别无它求; 一次偶然的机会发现了这个版本的,用起来很不错;
逆向工程调试器OllyDbg
04-28
OllyDbg是一款专门为逆向工程设计使用的调试器,适合动态分析用户态下执行的应用程序。其内置功能强大的具有代码分析功能的反汇编器,据此OllyDbg识别循环、switch控制块和其它主要代码流程结构。能显示API函数名称...
C/C++调试器
05-14
本文将深入探讨C/C++调试器的原理、应用以及与ollydbg的关联。 C/C++调试器是编程过程中的得力助手,它们允许程序员在程序运行时查看和控制变量的状态、设置断点、单步执行代码、检查调用堆栈等。常见的C/C++调试器...
OLLYDBG HawkOD
02-18
HawkOD最新版是一款非常专业的BlackHawk专用OD调试器,HawkOD最新版能够修改软件的各类签名,HawkOD最新版被通常用作对脚本的编辑和对OD的编辑,软件能用来修改窗口签名、修改CPU窗口名为BH、修改OD子窗口的类名、...
Eugenio调试器OD-20211027版.7z
11-19
Eugenio调试器OD-20211027版
[OllyDbg Plugin] StrongOD.v0.4.3.By.海风月影[CUG][2011.04.21]
05-15
[2011.04.21 v0.4.3.770] 1,增强反反调试 [2011.02.09 v0.4.1.716] 1,增强反反调试(bypass anti-debug) [2011.01.10 v0.4.0.712] 1,修复处理PE的一个BUG [2010.10.10 v0.3.7.666] 1,增强反反调试 2,修复部分BUG 3,执行脚本时,OD可以最小化 [2010.08.17 v0.3.6.650] 1,修复一个驱动可能的蓝屏BUG 2,防止OD被postmessage关闭 3,修复分析PE的一个BUG 4,驱动转移到数据段 [2010.06.24 v0.3.5.639] 1,Add AutoUpdate [2010.06.13 v0.3.4.633] 1,优化解决OD调试卡死的BUG 2,驱动释放到插件目录 3,增加PatchOD功能,od所有窗口类名随机化,避免被检测 4,cmdbar的窗口名采用Draw的方式画出来,避免被检测 5,修复导入表处理的一处BUG 6,解决cmdbar与Ollyskin不兼容的问题
maven-db-plugin
01-06
最近研究es,使用maven的时候有个插件死活下载不了.于是疯狂百度,找了半天找到这玩意,一装就好.
OllyDbg Plugin Development Kit 1.10
子曰小玖的博客
10-29 369
Plugin Development Kit 1.10 Download PDK 1.10 Compilation To compile your own plugin, you need some C or C++ compiler (together with linker and run-time libraries). Plugin interface (fileplugin.h) is compatible at least with following compilers: Borla.
X64dbg插件编写
逆向学习
09-20 1125
文章目录必选导出函数bool pluginit(PLUG_INITSTRUCT* initStruct)bool plugstop()void plugsetup(PLUG_SETUPSTRUCT* setupStruct) 必选导出函数 bool pluginit(PLUG_INITSTRUCT* initStruct) [必选导出] 初始化函数, 用于查询版本号,注册插件的名字和版本 exte...
Ollydbg入门
晚晴小筑
06-15 572
OllyDbg完全教程 目录 第一章概述.................................................................. 1 第二章组件.................................................................. 5 一、一般原理[General prnciples].........
x64dbg 插件开发SDK环境配置
热门推荐
CSDN
12-23 1万+
x64dbg 是一款开源的应用层反汇编调试器,旨在对没有源代码的可执行文件进行恶意软件分析和逆向工程,同时 x64dbg 还允许用户开发插件来扩展功能,插件开发环境的配置非常简单,如下将简单介绍x64dbg是如何配置开发环境以及如何开发插件的。
X64dbg-插件开发-概述-基础知识-接口
插件开发
05-13 701
文章目录1.基础知识2.出口3.定义4.作者答疑 1.基础知识   本页涵盖了 x64dbg 插件开发的基本原则。有关示例插件和模板,请参阅插件页面。 2.出口   一个插件至少有一个导出。必须调用此导出pluginit。有关PLUG_INITSTRUCT更多信息,请参阅和插件标头。其他有效的出口是:plugstop:在插件即将卸载时调用。在此处删除所有已注册的命令和回调。还要清理插件数据。plugsetup:插件初始化成功时调用,这里可以注册菜单等GUI相关的东西。CB*_plugin_registerc
【转】从Ollydbg说起-----WinDbg用户态调试教程
狼窝
09-12 6662
【文章标题】: 【原创】从Ollydbg说起-----WinDbg用户态调试教程【文章作者】: 笨笨雄【作者邮箱】: nemo314@gmail.com【工具】:Windbg 6.6.7.5;Ollydbg 1.10     我假设你已经掌握Ollydbg的使用,并且希望用WinDbg进行内核级的调试。这篇教程将会以Ollydbg为线索,帮助你尽快掌握WinDbg的使用,并简单介绍它的一些特性。我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值