【逆向工程核心原理】第二章—— 逆向分析Hello World! 在Ollydbg中快速查找指定代码的四种方法

已于 2024-01-24 22:30:13 修改
阅读量1.2k 收藏 3
点赞数 2
分类专栏: 逆向工程 文章标签: windows
于 2023-03-19 16:11:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuwuhe99/article/details/129648764
版权

1. 代码执行法

(用于被调试的代码量不大,且程序功能明确的情况)
一直按F8,在某个时刻会有消息框弹出:
在这里插入图片描述
被调用的函数地址为401000,按F7进入被调用的函数,该函数即为main()函数:
在这里插入图片描述

2. 字符检索法

右击----search for—all referenced text strings在这里插入图片描述
新跳出一个窗口,列出了程序代码引用的字符串:
在这里插入图片描述
双击“Hello word!”字符串,转到main()函数中调用MessageBox W()函数的代码处:
在这里插入图片描述
在dump窗口中使用goto命令,进一步查看4092A0地址的字符串:
在这里插入图片描述
灰色部分即为Unicode码形式表示的“Hello world!”
在这里插入图片描述

3. API检索法(1):在调用代码中设置断点

右击—search for—All intermodular calls,查看调用了哪些API函数:
在这里插入图片描述
可以看到调用MessageBox W()的代码,该函数位于40100E地址处:
在这里插入图片描述
双击它,找到主函数:
在这里插入图片描述

4. API检索法(2):在API代码中设置断点

OllyDbg并不能为所有可执行文件都列出API函数调用列表。使用压缩器/保护器工具对可执行文件进行压缩或保护之后,文件结构就会改变,此时OllyDbg就无法列出API调用列表了(甚至连调试都会变得十分困难)。
这种情况下,DLL代码库被加载到进程内存后,我们可以直接向DLL代码库添加断点。A)是操作系统对用户应用程序提供的一系列函数,它们实现于C:Windowsisystems32文件夹中.dl文件(如keme132.dI1、USer32.dI、gdi32.d1l、advapi32.dI1、ws2_32.dI1等)内部。
在OllyDbg菜单栏中依次选择View-Memory菜单(快捷键Alt+M),打开内存映射窗口。
内存映射窗口中显示了一部分HelloWorld.exe进程内存。在图底部的方框出以看到,USER32库被加载到了内存。
在这里插入图片描述
右击,列出被加载的DLL文件中提供的所有API:
在这里插入图片描述
定位到MessageBoxW
在这里插入图片描述
点击MessageBoxW,显示其代码,按F2打上断点:
在这里插入图片描述
再按F9继续执行,执行到代码断点处停止:
在这里插入图片描述

5777opup
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
OLLYDBG查看代码
09-21
随便拖拽个应用程序进去(太大型的不保证),就可以看到汇编语言源代码
OD鲜为人知的小技巧--搜索通配符(关键字)
weixin_30629977的博客
07-12 361
我看过一些OD教程,关于通配符这一点很少有人讲解(大概是我看的教程少吧)近日通过看《黑客反汇编揭秘(第二版)》第165页了解到,原来OD还有这样方便的功能,那就是搜索通配符: OllyDbg所支持的用于指定断点的关键字(以正则表达式形式给出)     关键字 描述 ...
Ollydbg之字符串、WindowsAPI搜索
ChuMeng1999的博客
10-15 2242
目录预备知识1.字符编码(1)ASCII码(2)Unicode编码(3)Unicode编码的问题(4)UTF-8(5)Little endian(小端存储)和Big endian(大端存储)2.Windows API(1)基础服务(Base Services)(2)图形设备接口(GDI)(3)图形化用户界面(GUI)(4)通用对话框链接库(Common Dialog Box Library)(5)通用控件链接库(Common Control Library)(6)Windows外壳(Windows Shel
逆向工程与软件自我保护
02-24
第一阶段:软件保护破解方法一:爆破(至少两种方式)1.查找显示注册结果相关代码查找注册码验证相关代码修改程序跳转方法二:编写注册机查找显示注册结果相关代码查找注册码验证相关代码根据注册码验证代码编写注册机第二阶段:软件反动态调试分析分析CrackMe1.exe是如何通过父进程检测实现反OllyDbg调试的分析除父进程检测外,该程序用到的反动态调试技术第三阶段:壳加壳脱壳深入理解尝试手动脱壳第一阶段:软件保护破解方法一:爆破(至少两种方式)首先尝试输入Sssss55555错误,弹框Badboy。那么badboy有关的代码就是注册结果相关代码。之后用OllyDbg打开crack.exe。查找所有参
逆向分析-扫雷游戏(含OD和CE逆向工具及源码)
07-30
该资源为逆向分析基本工具,包括OllyDbg和CE工具的利用,通过这些工具实现对扫雷游戏的逆向分析,希望对您有所帮助~ 推荐您结合作者的博客进行学习,参考文献:https://blog.csdn.net/Eastmount/article/details/107591832,免费文章,希望对您有所帮助! PS:作者上传的均是0分资源,但官方网站随着下载人数增多好像会自动加下载积分,请原谅。
OllyDbg快速查找指定代码四种方法
热门推荐
qq_27011361的博客
02-26 2万+
1.代码执行法:从“大本营”开始,F8执行,找到目标地点。重新调试找到目标函数。2.字符串检索法:鼠标右键-Search for-All referenced text strings,列出程序代码引用的字符串。GOTO到目标地址即可。3.API检索法(1):鼠标右键-Search for-All intermodular calls,对应用分析推断使用函数进行查找。4.API检索法(2):对于...
ollydbg快速定位方便调试
dnwm92175的博客
05-02 937
ollydbg调试的时候,会看到大量的汇编代码(远多于源代码),代码有大量的函数嵌套调用,调试起来周期很长,难度比较大。 所以我们希望能快速定位到代码,以下是快速定位的四种方法: 1、Goto命令   执行Goto命令(Ctrl+G),输入跟踪表达式确定后,执行Excute Still Cursor(F4)命令。 2、设置断点   快捷键F2设置断点。 3、注释   键...
OllyDbg
cyynid的博客
02-25 2423
本文通过吾爱破解论坛上提供的OllyDbg版本为例,讲解该软件的使用方法
小甲鱼 OllyDbg 教程系列 (五) : 破解 PC Surgeon 之 查找字符串
freeking101的博客
11-12 1186
https://www.bilibili.com/video/av6889190/?p=11 https://www.bilibili.com/video/av6889190/?p=12 程序下载地址:https://pan.baidu.com/s/1eVTLQ_AatLrmrz3FLwM5ww 提取码:wny9 修复OllyDBG 右键 ->复制...
OllyDBG使用
tianxiajianling的专栏
07-30 6207
OllyDBG基本操作 1)        查找调用的API 函数。在 OllyDBG 的反汇编窗口右击鼠标,在弹出菜单选择 查找->当前模块的名称 (标签),或者我们通过按 CTR+N 组合键也可以达到同样的效果,界面输入可搜索。右键菜单可下断点 2)        查找引用字符串。反汇编窗口右击,出来一个菜单,我们在 查找->所有参考文本字串 上左键点击 3)
Ollydbg 文搜索引擎插件源代码.2.15
01-22
Ollydbg 文搜索引擎插件源代码.2.15Ollydbg 文搜索引擎插件源代码.2.15Ollydbg 文搜索引擎插件源代码.2.15Ollydbg 文搜索引擎插件源代码.2.15
逆向工具OllyDbg
01-24
逆向工具OllyDbg
调试查找关键函数的三种方法
eli的博客
11-29 393
一 F8单步跟踪到关键函数 比如调试确定功能的程序, 可以单步到出现程序的特定响应为止, 出现响应的该条call指令的调用函数就是关键函数 二 字符串检索法 比如调试hello world程序, 最简单的功能就是弹窗输出helloworld, 在Ollydbg搜索关键字符串来迅速定位关键函数位置 ———————————————— 双击进入位置 三 API检索法 因为交互功能需要调用到系统的API, 所以直接查看程序调用了哪些API也可快速定位关键函数 弹窗会用到mes...
OllyDbg笔记-寄存器以及各种关键指令解析(含简单程序破解)
IT1995的博客
12-08 6737
目录 基本概念 代码与实例 基本概念 CPU的9个寄存器: EAX:扩展累加寄存器 EBX:扩展基址寄存器 ECX:扩展计数寄存器 EDX:扩展数据寄存器 ESI:扩展来源寄存器 EDI:扩展目标寄存器 EBP:扩展基址指针寄存器 ESP:扩展堆栈指针寄存器 EIP:扩展的指令指针寄存器 处理EBP、ESP、EIP,其他寄存器都能随意使用。 EBP:主要用于...
Ollydbg逆向分析并修改helloworld程序
qq_35942306的博客
08-03 7984
ollydbg逆向分析并修改helloworld程序素材来源实验内容步骤1:VS2017生成需逆向的文件步骤2:ollydbg打开该程序的exe文件,找到需修改的位置方法一:通过字符串查找方法二:通过调用模块查找步骤3:修改修改一:修改指令修改2:修改字符串 素材来源 来自于书籍《软件逆向工程原理与实践》。第一章的1.5节逆向分析并修改Hello World程序。本文主要是对自己走一遍该流程的记...
OllyDbg完全教程
QUINCY_HU的专栏
12-28 2330
[原文]OllyDbg完全教程                                       一,什么是 OllyDbgOllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。它的特别之处在于可以在没有源代码时解决问题,并且可以处理其它编译器无法解决的难题。Version 1.10 是最终的发布版本。 这个工程已经停止,我不再继续支持这个软件了。但不用担心:全新打造的 O
OllyDbg——基础1
Woolemon的博客
04-17 2051
文章目录界面常用的快捷键调试方式 OllyDbg是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,支持插件扩展功能,是目前最强大的调试工具之一。 界面 反汇编窗口:显示被调试程序的反汇编代码,包括地址、HEX数据、反汇编、注释 寄存器窗口:显示当前所选线程的CPU寄存器内容,点击标签可切换显示寄存器的方式 信息窗口:显示反汇编窗口的第一个命令的参数及跳转目标地址、字符等 数据窗口:显示内存或文件的内容,右键菜单可切换显示方式 堆栈窗口:显示当前线程的堆栈 常用的快
ollydbg调试总结(一)
weixin_45399376的博客
02-20 830
ollydbg 调试如何找到关键调用是破解成功的关键之一。 总结为如下几点: 1、关键词查找法:在“查找”-“所有参考文本字串”/Ctrl +N快捷键查找 2、APIs调用查找:在“查找”-“所有模块间的调用”查找相关API函数(例如GetWindowTextA、Killtimer等) 3、句柄查找:利用Execope 找出关键窗口的句柄,在代码查找句柄(如push 0x)从而定位关键调用,此外将断点定位在该关键函数代码段的段首,重新运行后在堆栈位置可以找到上一级调用。 4、堆栈查找
class07 Spark RDD编程33实验
最新发布
qq_64684039的博客
05-07 593
14.sortBy(f:(T) => K, [ascending:Boolean = true],[numPartitions])转换。11.reduceByKey(func,[numPartitions])分组聚合转换。16.join(otherDataset,[numPartitions])转换。19.coalesce(numPartitions:Int)重新分区转换。4.distinct([numPartitions])去重转换。9.mapValues()转换。7.2RDD的操作方法
Ollydbg逆向分析helloworld控制台程序
10-15
好的,我会尽力回答你的问题。首先,你需要下载并安装Ollydbg,然后打开helloworld控制台程序。接下来,你需要在Ollydbg设置断点,以便在程序执行到特定位置时暂停程序。你可以使用F9键来运行程序,使用F2键来设置断点。当程序执行到断点处时,它将暂停执行,然后你可以使用F8键逐步执行程序,并查看寄存器和内存的值,以便分析程序的行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值