动态调试 OD篇

最新推荐文章于 2025-09-15 11:28:11 发布
原创 最新推荐文章于 2025-09-15 11:28:11 发布 · 2.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #安全 #windows 

              动态分析技术
      OD篇

动态分析分为用户模式和内核模式
*用户模式调试器是指用来调试用户模式应用程序的调试器,
*内核模式调试器是指能调试系统内核的调试器
OllyDbg
1、 ollyDbg是一款具有可视化界面的用户模式调试器,可以在各种版本的windows上运行,一般只能分析32位的可执行程序
2、 ollyDbg的cpu窗口包括五个面板窗口,分别是反汇编面板,寄存器面板,信息面板,数据面板和栈面板
*反汇编面板窗口的快捷键
Addres例:显示被双击行地址的相对地址,再次双击返回标准地址模式。
Hex dump: 设置或取消无条件断点,对应的快捷键是“F2”键。
Dissassembly: 调用汇编器,可直接修改汇编代码,对应的快捷键是空格键。
Comment :允许增加或编辑注释,对应的快捷键是“;”键。
从键盘上选择多行,可按“shift”键和上下键,也可以右键菜单命令执行,
按“Ctrl”键按上下光标键,可逐行滚动汇编窗口
*数据面板窗口
要显示指定内存地址的数据,可单击右键快捷菜单中的“Go to experssion”命令,或按“Ctrl+G”快捷键,打开地址窗口输入地址
3、单步跟踪
Ctrl +F9 知道出现ret指令时中断。
Alt+F9 若进入系统领空,此命令可瞬间回到应用程序领空。
*所谓的领空实际上是指在某一时刻CPU的CS:EIP指向的某段代码的所有者。
*在进入子程序的过程中,若想回看之前单步跟踪的代码,可以按“-”(减号)键;
*若想让光标回到当前EIP所指向的语句,可以单击C按钮或者双击EIP寄存器。
如果程序进入死循环,可以按“F12”键暂停程序。
4、设置断点
设置断点后按“Alt+B”快捷键或者单击B按钮,可以打开断点窗口。
*其中“Always”表示断点处于激活状态,“Disable”表示断点停用。
空格键可以切换其状态。也可以通过右键快捷菜单管理折现断点。
按“Ctrl +G”快捷键打开跟随表达式窗口。可以搜索API函数<

最低0.47元/天 解锁文章
【愚公系列】2023年06月 逆向分析之Ollydbg(基本介绍和使用)
时光隧道
09-30 4万+
Ollydbg是一个x86体系结构的反汇编器和调试器,它是一款非常受欢迎的调试工具,通常用于软件逆向工程和漏洞发现过程中。可以反汇编并调试x86二进制文件支持多种反汇编风格,如汇编、C、Pascal等支持多种调试功能,如单步执行、断点、内存查看和修改等可以在不影响原始代码的情况下修改程序内容,并重新运行程序打开Ollydbg并加载要调试的二进制文件设置断点,例如在特定的指令处停下来或在某个内存位置处停下来运行程序并观察断点何时触发在程序暂停时查看寄存器、堆栈、内存和其他相关信息。
Ollydbg使用指南
热门推荐
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 1万+
Ollydbg基本操作的汇总
加密与解密 调试 动态调试技术 (一)-OllyDbg的使用 TraceMe的逆向
m0_64180167的博客
05-22 3655
我们进行载入的时候 主要返回的是CPU窗口 是最主要的窗口 对应面板的C。
OllyDbg调试工具与汇编语言实战指南
最新发布
weixin_42476987的博客
09-15 962
Ollydbg 是一款专为 Windows 平台设计的用户态调试器,广泛应用于逆向工程、漏洞分析和恶意软件研究。它具备动态调试、反汇编、内存查看、寄存器操作、断点设置等核心功能,支持对 PE 文件结构的深入分析。其优势在于直观的图形界面和强大的插件扩展能力,使得即使是复杂程序也能高效分析。Ollydbg 主要适用于 32 位应用程序,目前有两个主要版本:Ollydbg 1.10 和 Ollydbg 2.01。其中 1.10 更加稳定,适合常规逆向分析;
OD使用教程7(下)- 调试07|解密系列
weixin_34327761的博客
09-24 508
OD使用教程7(下)- 调试07 让编程改变世界 Change the world by program 认识OD的两种断点 OllyDBG从原理上来区分,有两种不同的断点:软件断点和硬件断点。 也许会有朋友说那不是还有内存断点吗? 内存断点严格来说是属于一种特殊的软件断点。 内存断点: 内存断点每次只能设置一个,假如你设置了另一个内存断点,则上一个会被自动删除。...
动态调试和分析(OD和X64DBG)
m0_72827793的博客
02-23 4931
一般情况下,由于已有栈的内容是不应更改的,简单的壳会选择将这样的信息压入栈(在栈上开辟新的空间),x86的汇编指令pushad可以轻松地将所有寄存器一次性压入栈,UPX也是使用了同样地方式,被形象地称为”x64DBG和OD的布局相同,左上区域为反汇编结果的显示区域,左下角区域为浏览器内存数据的区域,右下角区域为栈数据的显示区域,右上区域为寄存器的显示区域。实际上,这是一个将栈空间向上清零0x80长度的循环,并不是真实的程序代码,后面紧跟着一个向前的较远的跳转,这样跳到原代码的跳转。
反反调试OD
06-21
反反调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
OD调试器源码
09-18
OD调试器源码是调试工具领域的一个重要话题,尤其对于软件开发者和逆向工程师来说,理解并学习OD(OllyDbg)调试器的源码能够深入掌握底层调试技术,提高解决问题的能力。OllyDbg是一款流行的x86汇编级别的调试器,...
大神修改版OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
OD调试工具 for 64 win7-C++工具类资源
09-22
OD调试工具,全名OllyDbg,是一款广泛使用的、基于Windows操作系统的16位和32位汇编级别的调试器。尽管它最初设计时并未支持64位系统,但随着技术的发展,针对64位环境的调试需求日益增加,出现了能够应用于64位...
csaw2013reversing2(OD动态调试笔记)
HLi1219的博客
11-06 447
通过别人的文章,学习动态调试 PE查壳:无壳、32位 没有输入函数,再根据题目,打开就有flag,打开发现是乱码 用相应的ida打开,找的main函数F5反编译 代码中mencpy_s的具体含义为(目标地址,字节数,源地址,复制的字节数)也就是把&unk_409B10里面的值给了IpMem,在sub_401000的函数中进行加密,随货就是关闭程序后显示,看了其他的文章,&unk_409B10中就是乱码的flag。使用OD动态调试 在003F1094中对应了id...
od(游戏调试工具)
02-28
主要用于高度程序,进行反汇编,是用于制作网络游戏外挂的好工具,不得不学。
OD动态调试exe
wuwuliuliu0524的博客
08-21 890
从00401350开始,F8一行一行进行调试,运行到00401362,一部分二维码打印出来,调试到中括号最下面即可停止,并且在下一个中括号开始重复操作,设置此处为新EIP-F8调试。分析exe文件,用ida打开,找到主函数main,分析主函数可以发现,main在判断之后调用了l02等函数。以此类推,l04函数在00401365,F8运行到00401377打印,直至打印完全。开始找l02函数,左侧双击l02,跳转至00401350,这里是开始的位置。之前一直卡,好不容易搞懂一点,记下来记下来。
linux动态调试工具od,OllyDBG(OD动态调试工具)
weixin_35747785的博客
05-05 2014
OllyDBG是一个新的动态追踪工具,OllyDBG将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。强烈推荐!OllyDbg2.01正式版更新日志:Help on 77 pages. Please read it first - most of new features are described thereMult...
OD调试实例1
weixin_30384031的博客
07-02 305
使用TraceMe.exe OD按F3加载TraceMe,再按F9运行起来,如图所示 设置一个断点: Ctrl+G打开跟随表达式窗口 OllyDbg里对API的大小写敏感,输入的函数名大小写必须正确,比如以下两种写法都是不正确的: 点击OK后,会跳到系统User32.dll的GetDlgItemTextA函数入口处: 按Alt+B快捷键或单击B按钮打开断点窗口...
OD入门学习(调试
u012640985的专栏
05-04 1万+
一、OD快捷键 二、关于jicunqi
linux下动态调试od,OD 实验(二十) - 对反调试程序的逆向分析(一)
weixin_42531396的博客
05-14 627
程序: Keyfile.dat 里的内容 该文件中要至少有 9 个ReverseMe.A:运行程序 用 OD 打开该程序,运行 弹出的是错误的对话框该程序发现 OD 对它的调试,所以该程序对 OD 进行反调试重新载入程序,按 F8 往下走 这个循环是对 Keyfile.dat 的内容进行判断的循环过来,来到一个 call 语句 执行该 call 语句就会弹出那个弹窗 这个 call 指令调用的函数...
Windows 逆向】OD 调试器工具 ( OD 调试数据时硬件断点对应的关键代码 | 删除硬件端点恢复运行 )
男神的专栏
12-18 1204
文章目录前言一、OD 调试数据时硬件断点对应的关键代码二、删除硬件端点恢复运行前言在 【Windows 逆向】OD 调试器工具 ( CE 中获取子弹动态地址前置操作 | OD调试指定地址的数据 ) 博客中介绍了如何在 OD调试指定地址 , 本博客中对相关操作进行指定;一、OD 调试数据时硬件断点对应的关键代码在 数据面板 中 , 右键点击指定地址 , 选择 " 断点 / 硬件访问 / Dword " 选项 , 设置硬件断点 ,
XjunDbg:下一代OD动态调试器个人版本介绍
【描述知识点】: OD动态调试器过检测个人版本,xiaojun大牛个人版调试OD通常指的是OllyDbg,它是一款著名的Windows平台下的汇编级动态调试器。它提供强大的功能,包括二进制代码的动态分析,反汇编,执行代码的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值