OllyDbg使用笔记

最新推荐文章于 2024-06-01 19:15:00 发布
最新推荐文章于 2024-06-01 19:15:00 发布
阅读量387 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vgeekr/article/details/89950978
版权

面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>>   hot3.png

OD步过后,返回到之前某位置,重新单步执行

找到你想返回的行,

右键选择New origin here,快捷键Ctrl+Gray *,

然后程序会返回到这一行,再次按F7或者F8等执行即可

77C3078F再次执行

定位代码,逐行执行

对于代码量较小的程序,这种方式也是可以接受的。

方法就是一直F7配合F8等,直到调用我们想要的功能,

CALL调用的这个函数就是我们要定位的函数了。

定位代码,快速搜索

OD加载待调试程序时,会预分析过程。

此过程会查看进程内存,程序中引用的字符串和API会被摘录出来。

也可以利用这个特点快速定位。

过程如下:

1.首先用OD打开待调试的程序

2.右键, Search for, All referenced text strings

这时候会打开R窗口,显示搜索的结果,

3.R窗口中查询你要查询的字符串

右键Search for text,输入你要查询的字符串

找到你要查找的字符串,比如Hello World!

4.双击,定位到函数

5.Dump窗口查看数据

点击下方Dump查看内存窗口,

快捷键Ctrl+G,或者

右键Go to, Expression

输入Hello World!地址00A42108

定位代码,API检索定位,在调用代码中定位

同样利用OD预分析加载的特性,通过API实现代码定位。

用OD打开待调试的程序,然后,

右键,Search for, All intermodular calls,

查询结果会显示在R窗口,

你可以对API列表排序,Sort by, Destination

然后,找到你认为是目标的那个API函数,双击,

比如,我这里就打印了一个字符串Hello World!,API函数用的MessageBox,我就找到这个API双击

然后,OD会定位到目标函数内部,看看是不是你要找的那个。

同样的可以在Dump窗口查看内存。

定位代码,API检索定位,API代码中定位

有时候发布的程序代码会被压缩或者保护起来,这样OD的预分析加载就废掉了,上面的方式就不能使用了。

这时候,我们需要通过对程序加载的DLL进行分析,在DLL中筛选合适的目标API,进API中下断点,然后调试。

比如还是用MessagexBox这个API打印Hello World!字符串,我们假设程序被压缩或者保护了。

分析下目标特征,弹窗打印了一个字符串,那这个应该是使用的MessagexBox这个函数,这个API所在的DLL

USER32.DLL,那我们就从USER32.DLL下手。

打开内存映射窗口,菜单栏,View, Memory 或者快捷键 Alt+M

找到USER32.DLL,确认被加载到了内存,

列出所有模块中的API,点击C窗口,右键,Search for, Name in all modules,结果会显示在N窗口,

可以点击Name按名字排序,键盘直接输入要查询的API名字,就会自动定位,

上图中显示出了含有MessageBox字符的所有DLL,这里我们只关心USER32.DLL

双击MessageBoxW(UNICODE版),跳转到函数实现代码,F2下断点,F9继续执行代码。

程序暂停到了API断点处,F8单步步过执行代码,成功打印显示窗口。

左下角寄存器ESP的值就是调用该函数的进程栈地址,这里我忘记记录了,重新模拟一遍,仅作验证。

00A41014是返回地址,也就是CALL调用MessageBox后,下一条要执行的指令所在地址,那CALL调用就是上一条真正调用MessageBox的地址。

跟踪查看地址,Ctrl+G

红色表示过程调用地址,绿色表示过程返回地址。

MZPE00
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【愚公系列】2023年06月 逆向分析之Ollydbg(基本介绍和使用
时光隧道
09-30 4万+
Ollydbg是一个x86体系结构的反汇编器和调试器,它是一款非常受欢迎的调试工具,通常用于软件逆向工程和漏洞发现过程中。可以反汇编并调试x86二进制文件支持多种反汇编风格,如汇编、C、Pascal等支持多种调试功能,如单步执行、断点、内存查看和修改等可以在不影响原始代码的情况下修改程序内容,并重新运行程序打开Ollydbg并加载要调试的二进制文件设置断点,例如在特定的指令处停下来或在某个内存位置处停下来运行程序并观察断点何时触发在程序暂停时查看寄存器、堆栈、内存和其他相关信息。
OllyDbg使用学习 笔记
Fly Follow the Heart
12-31 4734
1. 运行命令:         F7 -- 单步执行,遇到Call跟进         F8 -- 单步执行,遇到Call跳过,不进入         F9 -- 运行起来,相当于Visual Studio的F5         Ctrl+F9 -- 运行到本函数结束(Ret指令后)         Alt+F9 -- 跳出系统调用,回到应用程序中         
Ollydbg 入门、使用 Ollydbg 从零开始 Cracking、玩玩破解,写给新人看
热门推荐
freeking101的博客
09-28 2万+
OllyDBG 入门、使用OllyDbg从零开始Cracking
网络安全|渗透测试入门学习,从零基础入门到精通—动态分析技术工具OllyDbg界面介绍
Jum的博客
06-25 5438
OllyDbg(简称“OD”)是由leh Yuschuk(网上查了很久,竟然很少OD作者的消息。在一个国外站点上,我零星地找到一点资料:Oleh Yuschuk: 可能是前苏联->俄罗斯人,前苏联解体后移民德国且一直住在德国一个古老的小城,具体的信息查询不到)编写的一款具有可视化界面的用户模式调试器,可以在当前各种版本的 Windows上运行NT系统架构更能发挥OllyDbg 的强大功能。
14.Ollydbg的基本使用
最新发布
计算机王的博客
06-01 449
单机游戏逆向、单机游戏安全、c++、反游戏外挂
OllyDbg 使用笔记 (十)
billvsme的专栏
08-27 3256
OllyDbg 使用笔记 (十) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 这个程序可以从标题栏的“ unregistered”入手,查找所有参考文本字串,搜索 “unregistered” 可以找到这段代码: 可以发现004046E0~0040470C 是一段函数。 我们可以发现je跳转比较关键,在这里可以先尝试让je不跳转。但是这样只能使标题中不会出现(unregistered),被屏蔽的功能还是不能使用。 直接改je跳转不行,我们可以看看引起je跳不跳转
加密与解密 调试篇 动态调试技术 (一)-OllyDbg使用 TraceMe的逆向
m0_64180167的博客
05-22 2756
我们进行载入的时候 主要返回的是CPU窗口 是最主要的窗口 对应面板的C。
OLLYDBG知识
qq_43572855的博客
07-11 423
1.MUL DWORD PTR DS:[405000]解释 MUL:MUL(无符号数的乘法) 有两种乘法,第一个种是MUL,这种是无符号数乘法,只有一个操作数,另一个操作数是EAX,结果存放到EDX:EAX中。 ---- EDX:EAX是指结果存放在EDX:EAX中,如果需要得到结果,则由EDX连接到EAX而得。比如:计算后:结果是:1FFFFFFFA,由于EAX只能存放FFFFFFFA,那个1则存放在EDX中(00000001)。 dword 双字 就是四个字节 ptr pointer
ollyDbg学习笔记
11-10
破解三种方法: 1.字符串查找 2.调用栈,运行程序,然后暂停,按下alt+k 3.用exe分析器,查找对话框的值,然后在OD里查找push 0x* (18,19) 实用技巧 1.内嵌补丁(堆栈不平衡时,可借助插件 17) ...3.看第19集笔记
ollydbg软件,俗称OD
07-04
4. **ollydbg.exe**:ollydbg主程序,启动和使用OD的入口点。 5. **help.pdf**:可能包含有关ollydbg使用教程或参考手册,对于初学者来说非常有帮助。 总结,ollydbg是逆向工程师的重要工具,通过它,我们可以...
OllyDbg完全教程.zip
09-16
OllyDbg完全教程
win32 汇编笔记精华
07-03
5. **调试技巧**:学会使用调试工具如OllyDbg、Windbg进行汇编代码的调试。 **四、实践应用** 1. **驱动开发**:Win32汇编在驱动程序开发中扮演重要角色,因为驱动通常需要对硬件进行直接控制。 2. **性能优化**...
OllyDbg入门完全教程(完美排版).zip
09-16
在了解了基本界面和操作后,教程会逐步讲解如何使用OllyDbg的断点功能。断点允许在程序执行到特定位置时暂停,这对于观察程序行为、分析内存变化或查找漏洞至关重要。此外,OllyDbg的步进执行、单步过函数等调试命令...
Ollydbg使用指南
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 8287
Ollydbg基本操作的汇总
OD(Ollydbg)简介
am_03的博客
08-28 8510
ollydbg简介: Ollydbg 通常称作OD,是反汇编工作的常用工具,OD附带了200脱壳脚本和各类插件,功能非常强大,可以过SE,VMP3.0,深受逆向圈内人士的喜爱 OD,是一个反汇编工具,又叫OllyDebug,一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3 级的调试器,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用OllyDebug。 这里面地
网络安全|渗透测试入门学习,从零基础入门到精通—动态分析技术OllyDbg案例详情
Jum的博客
06-26 725
但是对EIP寄存器,不能直接修改,需要在反汇编窗口选择新的指令起始地址,例如004013AAh,在其上单击右键在弹出的快捷菜单中选择“Neworiginhere”(此处为新的EIP选项EIP的值将变成4013AAh,程序将从这条指令开始执行。各部分代码的含义如下。另一个重要的寄存器是EIP,它指向当前将要执行的指令,按一下“F7”键将执行一条指令,然后 EIP将指向下一条将要执行的指令。“F7”键和“F8”键的主要区别在于,若遇到callloop等指令,按“F8”键会路过,按“F7键会跟进,示例如下。
OllyDbg基础教程
whl0071的专栏
02-20 7847
工具栏 各种窗口切换 1.日志窗口(L): 2.模块窗口(E):查看每个模块的内存基址 3.内存窗口(M):查看每一个模块的段,所占用的内存区域 4.线程窗口(T):线程信息 5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息 6.句柄(H): 7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要 8.补丁窗口(/): 9:堆栈窗口(K):可以查看调用堆栈,调试时堆栈回溯—很重要 10.断点窗口(B):所有的F2断点都显示在这里 11.参考( R):比如如
OllyDBG 入门系列(一)-认识OllyDBG
子曰小玖的博客
10-29 5331
一、OllyDBG 的安装与配置 OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可: OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考 TT 小组翻译的中文帮助: 反汇编窗口:显示被调试程序的反汇编代码,标题栏上的地址、HEX 数据、反汇编、注释可以通过在窗口中右击出现的菜单 界面选项->隐藏标
note : OD操作整理-API断点的设置;寄存器的修改;数据查看
谢绝留言与私信
05-04 4085
中断的设置 断点列表和代码的切换 断点的操作与切换 转到表达式, 用于在汇编窗口直接查找API 查找程序中使用的API,并对关注的API下端点. 确定在程序领空内. 需要在主程序领空查看API列表. 如果在系统DLL中, 查看的API列表就是那个DLL调用的API列表. 可以在程序入口点到主视图或主对话框出来之前, 查看主程序用到的API列表. 也
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值