OllyDbg使用笔记

最新推荐文章于 2024-04-29 15:04:51 发布
最新推荐文章于 2024-04-29 15:04:51 发布
阅读量381 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vgeekr/article/details/89950978
版权

面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>>   hot3.png

OD步过后,返回到之前某位置,重新单步执行

找到你想返回的行,

右键选择New origin here,快捷键Ctrl+Gray *,

然后程序会返回到这一行,再次按F7或者F8等执行即可

77C3078F再次执行

定位代码,逐行执行

对于代码量较小的程序,这种方式也是可以接受的。

方法就是一直F7配合F8等,直到调用我们想要的功能,

CALL调用的这个函数就是我们要定位的函数了。

定位代码,快速搜索

OD加载待调试程序时,会预分析过程。

此过程会查看进程内存,程序中引用的字符串和API会被摘录出来。

也可以利用这个特点快速定位。

过程如下:

1.首先用OD打开待调试的程序

2.右键, Search for, All referenced text strings

这时候会打开R窗口,显示搜索的结果,

3.R窗口中查询你要查询的字符串

右键Search for text,输入你要查询的字符串

找到你要查找的字符串,比如Hello World!

4.双击,定位到函数

5.Dump窗口查看数据

点击下方Dump查看内存窗口,

快捷键Ctrl+G,或者

右键Go to, Expression

输入Hello World!地址00A42108

定位代码,API检索定位,在调用代码中定位

同样利用OD预分析加载的特性,通过API实现代码定位。

用OD打开待调试的程序,然后,

右键,Search for, All intermodular calls,

查询结果会显示在R窗口,

你可以对API列表排序,Sort by, Destination

然后,找到你认为是目标的那个API函数,双击,

比如,我这里就打印了一个字符串Hello World!,API函数用的MessageBox,我就找到这个API双击

然后,OD会定位到目标函数内部,看看是不是你要找的那个。

同样的可以在Dump窗口查看内存。

定位代码,API检索定位,API代码中定位

有时候发布的程序代码会被压缩或者保护起来,这样OD的预分析加载就废掉了,上面的方式就不能使用了。

这时候,我们需要通过对程序加载的DLL进行分析,在DLL中筛选合适的目标API,进API中下断点,然后调试。

比如还是用MessagexBox这个API打印Hello World!字符串,我们假设程序被压缩或者保护了。

分析下目标特征,弹窗打印了一个字符串,那这个应该是使用的MessagexBox这个函数,这个API所在的DLL

USER32.DLL,那我们就从USER32.DLL下手。

打开内存映射窗口,菜单栏,View, Memory 或者快捷键 Alt+M

找到USER32.DLL,确认被加载到了内存,

列出所有模块中的API,点击C窗口,右键,Search for, Name in all modules,结果会显示在N窗口,

可以点击Name按名字排序,键盘直接输入要查询的API名字,就会自动定位,

上图中显示出了含有MessageBox字符的所有DLL,这里我们只关心USER32.DLL

双击MessageBoxW(UNICODE版),跳转到函数实现代码,F2下断点,F9继续执行代码。

程序暂停到了API断点处,F8单步步过执行代码,成功打印显示窗口。

左下角寄存器ESP的值就是调用该函数的进程栈地址,这里我忘记记录了,重新模拟一遍,仅作验证。

00A41014是返回地址,也就是CALL调用MessageBox后,下一条要执行的指令所在地址,那CALL调用就是上一条真正调用MessageBox的地址。

跟踪查看地址,Ctrl+G

红色表示过程调用地址,绿色表示过程返回地址。

MZPE00
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【愚公系列】2023年06月 逆向分析之Ollydbg(基本介绍和使用
时光隧道
09-30 4万+
Ollydbg是一个x86体系结构的反汇编器和调试器,它是一款非常受欢迎的调试工具,通常用于软件逆向工程和漏洞发现过程中。可以反汇编并调试x86二进制文件支持多种反汇编风格,如汇编、C、Pascal等支持多种调试功能,如单步执行、断点、内存查看和修改等可以在不影响原始代码的情况下修改程序内容,并重新运行程序打开Ollydbg并加载要调试的二进制文件设置断点,例如在特定的指令处停下来或在某个内存位置处停下来运行程序并观察断点何时触发在程序暂停时查看寄存器、堆栈、内存和其他相关信息。
OllyDbg使用学习 笔记
Fly Follow the Heart
12-31 4729
1. 运行命令:         F7 -- 单步执行,遇到Call跟进         F8 -- 单步执行,遇到Call跳过,不进入         F9 -- 运行起来,相当于Visual Studio的F5         Ctrl+F9 -- 运行到本函数结束(Ret指令后)         Alt+F9 -- 跳出系统调用,回到应用程序中         
Ollydbg 入门、使用 Ollydbg 从零开始 Cracking、玩玩破解,写给新人看
热门推荐
freeking101的博客
09-28 2万+
OllyDBG 入门、使用OllyDbg从零开始Cracking
网络安全|渗透测试入门学习,从零基础入门到精通—动态分析技术工具OllyDbg界面介绍
Jum的博客
06-25 5377
OllyDbg(简称“OD”)是由leh Yuschuk(网上查了很久,竟然很少OD作者的消息。在一个国外站点上,我零星地找到一点资料:Oleh Yuschuk: 可能是前苏联->俄罗斯人,前苏联解体后移民德国且一直住在德国一个古老的小城,具体的信息查询不到)编写的一款具有可视化界面的用户模式调试器,可以在当前各种版本的 Windows上运行NT系统架构更能发挥OllyDbg 的强大功能。
反汇编:OllyDBG/objdump分析
最新发布
zxf347085420的博客
04-29 248
反汇编中的第四列:是强大的od反汇编工具为我们提供的注释功能,能看到一些windows api,或是一些可读的信息。反汇编中的第三列:是我们研读的目标了,它是我们需要学习型的汇编语言;ALT+F9:执行到用户代码,可以快速地从系统领空返回到程序领空。CTR+F9:执行到返回,会在第一个遇到的RET指令暂停。F2:在光标处设置断点,再按一次删除光标处的断点。F8:单步步过,遇到CALL等函数会跳过,不进入。反汇编中的第二列:是所谓的汇编语言中的操作码;反汇编中的第一列:是指令在内存中存放的地址;
OllyDbg 使用笔记 (十)
billvsme的专栏
08-27 3179
OllyDbg 使用笔记 (十) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 这个程序可以从标题栏的“ unregistered”入手,查找所有参考文本字串,搜索 “unregistered” 可以找到这段代码: 可以发现004046E0~0040470C 是一段函数。 我们可以发现je跳转比较关键,在这里可以先尝试让je不跳转。但是这样只能使标题中不会出现(unregistered),被屏蔽的功能还是不能使用。 直接改je跳转不行,我们可以看看引起je跳不跳转
加密与解密 调试篇 动态调试技术 (一)-OllyDbg使用 TraceMe的逆向
m0_64180167的博客
05-22 2723
我们进行载入的时候 主要返回的是CPU窗口 是最主要的窗口 对应面板的C。
ollyDbg学习笔记
11-10
破解三种方法: 1.字符串查找 2.调用栈,运行程序,然后暂停,按下alt+k 3.用exe分析器,查找对话框的值,然后在OD里查找push 0x* (18,19) 实用技巧 1.内嵌补丁(堆栈不平衡时,可借助插件 17) ...3.看第19集笔记
ollydbg软件,俗称OD
07-04
4. **ollydbg.exe**:ollydbg主程序,启动和使用OD的入口点。 5. **help.pdf**:可能包含有关ollydbg使用教程或参考手册,对于初学者来说非常有帮助。 总结,ollydbg是逆向工程师的重要工具,通过它,我们可以...
OllyDbg完全教程.zip
09-16
OllyDbg完全教程
win32 汇编笔记精华
07-03
5. **调试技巧**:学会使用调试工具如OllyDbg、Windbg进行汇编代码的调试。 **四、实践应用** 1. **驱动开发**:Win32汇编在驱动程序开发中扮演重要角色,因为驱动通常需要对硬件进行直接控制。 2. **性能优化**...
OllyDbg入门完全教程(完美排版).zip
09-16
在了解了基本界面和操作后,教程会逐步讲解如何使用OllyDbg的断点功能。断点允许在程序执行到特定位置时暂停,这对于观察程序行为、分析内存变化或查找漏洞至关重要。此外,OllyDbg的步进执行、单步过函数等调试命令...
Ollydbg使用指南
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 8195
Ollydbg基本操作的汇总
OD(Ollydbg)简介
am_03的博客
08-28 8469
ollydbg简介: Ollydbg 通常称作OD,是反汇编工作的常用工具,OD附带了200脱壳脚本和各类插件,功能非常强大,可以过SE,VMP3.0,深受逆向圈内人士的喜爱 OD,是一个反汇编工具,又叫OllyDebug,一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3 级的调试器,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用OllyDebug。 这里面地
网络安全|渗透测试入门学习,从零基础入门到精通—动态分析技术OllyDbg案例详情
Jum的博客
06-26 715
但是对EIP寄存器,不能直接修改,需要在反汇编窗口选择新的指令起始地址,例如004013AAh,在其上单击右键在弹出的快捷菜单中选择“Neworiginhere”(此处为新的EIP选项EIP的值将变成4013AAh,程序将从这条指令开始执行。各部分代码的含义如下。另一个重要的寄存器是EIP,它指向当前将要执行的指令,按一下“F7”键将执行一条指令,然后 EIP将指向下一条将要执行的指令。“F7”键和“F8”键的主要区别在于,若遇到callloop等指令,按“F8”键会路过,按“F7键会跟进,示例如下。
OllyDbg基础教程
whl0071的专栏
02-20 7817
工具栏 各种窗口切换 1.日志窗口(L): 2.模块窗口(E):查看每个模块的内存基址 3.内存窗口(M):查看每一个模块的段,所占用的内存区域 4.线程窗口(T):线程信息 5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息 6.句柄(H): 7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要 8.补丁窗口(/): 9:堆栈窗口(K):可以查看调用堆栈,调试时堆栈回溯—很重要 10.断点窗口(B):所有的F2断点都显示在这里 11.参考( R):比如如
note : OD操作整理-API断点的设置;寄存器的修改;数据查看
谢绝留言与私信
05-04 4077
中断的设置 断点列表和代码的切换 断点的操作与切换 转到表达式, 用于在汇编窗口直接查找API 查找程序中使用的API,并对关注的API下端点. 确定在程序领空内. 需要在主程序领空查看API列表. 如果在系统DLL中, 查看的API列表就是那个DLL调用的API列表. 可以在程序入口点到主视图或主对话框出来之前, 查看主程序用到的API列表. 也
OD内存断点初步分析
BenChang的专栏
04-26 5092
通过ida静态分析和od动态分析od程序,初步了解内存断点的机制
病毒分析与防护实验3—— 反汇编工具(Ollydbg)的使用
郭同学如是说
04-02 1914
实验名称:病毒分析与防护实验3—— 反汇编工具的使用 实验目的 熟悉动态分析工具OllyDBG的界面和常用模块 熟悉静态分析工具IDA的界面和常用模块 掌握使用OllyDBG和IDA分析修改可执行文件的方法 实验原理 OD界面 窗口名称 作用 反汇编窗口 显示被调试程序的反汇编代码,标题栏上的地址、机器码、反汇编代码、注释。 寄存器窗口 显示当前所选线程的 CPU 寄存器内容 信息窗口 显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等 数据窗口 显
ollydbg使用教程
09-03
OllyDbg是一款用于调试和分析Windows可执行文件的工具。使用它可以帮助开发人员理解程序的运行方式,以便进行错误修复和代码优化等工作。 要开始使用OllyDbg,你可以按照以下步骤进行操作: 1. 下载和安装OllyDbg:你可以从OllyDbg的主页(http://home.t—online.de/home/Ollydbg)下载最新版本的OllyDbg,并按照安装向导进行安装。 2. 启动OllyDbg:你可以通过命令行指定可执行文件,也可以从菜单中选择,或直接拖放可执行文件到OllyDbg中。另外,你还可以重新启动上一个被调试程序,或者挂接(Attach)一个正在运行的程序。OllyDbg支持即时调试,不需要安装,可以直接在软盘中运行。 3. 调试功能:一旦你打开了一个可执行文件,OllyDbg将会显示程序的汇编代码和相关的调试信息。你可以使用OllyDbg的各种功能来分析代码、设置断点、查看和修改寄存器和内存中的值,以及跟踪程序的执行流程。 4. 插件功能:如果你需要增加更多功能,你可以使用OllyDbg的插件。插件是一个DLL,可以通过OllyDbg的主页免费下载。插件可以提供额外的调试功能,例如反汇编插件、内存查看插件、脚本扩展等。 请注意,OllyDbg的插件是无法通过调试OllyDbg本身的方式来进行调试的,因为Windows系统不能在同一个应用程序中加载和运行两个可执行文件。 总之,OllyDbg是一款功能强大而灵活的调试工具,使用它可以帮助你分析和调试Windows可执行文件。你可以根据需要选择运行方式、设置断点、查看和修改内存值等。如果需要更多功能,可以考虑使用插件来扩展OllyDbg的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Ollydbg入门](https://blog.csdn.net/n3verl4nd/article/details/84443295)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值