动态调试OllyDbg工具

已于 2023-04-25 15:37:14 修改
阅读量499 收藏 2
点赞数 1
文章标签: 汇编 测试工具 安全
于 2023-04-24 19:53:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuanyitwo/article/details/130350500
版权

1.OllyDbg的界面和配置

动态调试工具: OllyDbg, Windbg x64dbg

静态调试工具: ida

在这里插入图片描述

1.汇编窗口

2.信息窗口

3.数据窗口

4.寄存器窗口

5.栈窗口

02.常用快捷键

OD常用快捷键:

​ F2: 设置断点,只要在光标定位的位置按F2即可,在按一次F2键则会删除断点。

​ F8: 单步步过,每按一次这个键执行一条反汇编窗口中的一条指令,遇到call等子程序不进入其代码

​ F7: 单步步入,功能同单步步过(F8)类似,区别是遇到call等子程序会进入其中,进入后首先会停留在子程序的第一条指令上。

​ F4: 运行到选定位置,作用就是直接运行到光标所在位置处暂停

​ F9: 运行,按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。

​ ctrl+F9: 执行到返回,此命令在执行到一个ret(返回指令)时暂停,常用语从系统部分返回到我们调试的程序部分

03.INT3断点原理

F2断点,CC断点

原理:

1.替换指令,也就是换int3指令

2.od检测到int3指令之后会引发一个异常并且捕获它,这时候程序会中断

3.int3执行给删除掉,还原之前的代码

优点:无限的下int3断点

缺点:很容易被检测

04.INT3断点的反调试和反反调试

反调试(保护这个程序)

反反调试(破解这个程序)

​ FARPROC结构体

​ GetProcAddress函数

​ LoadLibrary函数

int main(){
	FARPROC addr = GetProAddress(LoadLibrary(L"user32.dll"),"MessageBoxA"); //得到MessageBoxA的首地址
	byte byteAddr = *(byte *)addr;
	::MessageBox(NULL,"内容","标题",MB_OK); //弹框
	if(byteAddr == 0xcc){
		printf("检测到非法调试")} else {
		printf("代码正常")}
	getchar();
}

05.硬件断点原理解析

跟调试寄存器有关, DR0~DR7

DR0~DR3: 用于保存我们需要断点的地址

DR4,DR5: 未知

DR6: 状态寄存器

DR7: 控制寄存器

原理:

1.DR0~DR3用来保存我们需要断点的地址

2.DR7寄存器设置相对于控制位

3.当程序运行到这个地址的时候,CPU会向OD发送异常信息,然后程序中断,等待用户操作

优点:速度快,不容易被检测

缺点:最多只能下4个硬件断点

06.内存断点

内存属性

原理:

对这个地址赋予了不可读,不可执行的属性

程序运行到这里之后会产生一个异常

OD捕获这个异常,然后程序中断

优点:不改变汇编代码

缺点

07.消息断点

主要围绕windows的消息机制

08.条件断点

条件断点快捷键: shift+F2

多条件: ebp == 19ff70 && ebx == 19ffcc

09.内存访问一次性断点和条件记录断点

内存访问一次性断点: M 鼠标右键下断点, 运行之后会自动取消

条件记录断点: shift + F4

​ 显示记录值的地方: alt+l

10.Hit trace和Run trace

Hit trace: 实际就是int3 可以跟踪程序执行轨迹

Run trace: 实际就是int3

11.调试符号 以及OD插件编写

kd> dt_eprocess 利用程序的pdb后缀文件可以读取程序源代码

xuanyitwo
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件逆向破解入门系列(1)—xdbg32/64的常见配置及功能窗口
Think88666的博客
07-01 3912
逆向,破解
Ollydbg 入门、使用 Ollydbg 从零开始 Cracking、玩玩破解,写给新人看
热门推荐
freeking101的博客
09-28 2万+
OllyDBG 入门、使用OllyDbg从零开始Cracking
dbg-macro:C++代码调试工具
海水梦悠悠的博客
10-14 1354
dbg-macro 源代码地址:dbg-macro dbg-macro是一个轻量级c++编写的c++代码调试器。使用起来特别方便,只需包含一个头文件即可。 特点 易读,彩色输出。当输出不是一个交互式终端时色彩会被隐藏。 可以打印文件名、行数、函数名以及原始表达式。 为输出值增加了类型信息。(可以看到输出变量是什么类型) 为容器、指针、字符串、枚举、STL设置专门的输出样式。 支持C++11、C++14、C++17。 可以使用在表达式内视。 当包含dbg.h时,会有一个编译器警告问题。(别忘了移除) 安装
熟悉 OllyDbg:强大的 Windows 调试工具
最新发布
JAZJD的博客
05-16 1117
OllyDbg 是一款功能强大且灵活的 Windows 调试工具,为开发人员和逆向工程师提供了深入了解应用程序执行的工具。其断点和跟踪功能、强大的查找和编辑功能以及插件支持使其成为 Windows 逆向工程领域中不可或缺的工具OllyDbg 是一款强大的 Windows 调试工具,可帮助开发人员和逆向工程师分析和调试 Windows 应用程序。OllyDbg的断点和跟踪功能是其最为强大的特点之一,它们为用户提供了丰富的调试工具,使其能够深入分析程序的执行过程。
DDMS+AndroidStudio实现动态调试
zh619569096的博客
09-29 1269
所需工具 AndroidStudio(用于调试smali代码) monitor.exe(DDMS工具连接手机后可查看进程端口,与AndroidStudio一起使用实现动态调试) AndroidKiller(反编译APK使用,可使用其他工具可替代) Magisk(用于修改default.prop内属性值,开启debug权限) adb(连接手机,修改default.prop内属性值,开启debug权限) smalidea-0.06(AndroidStudio插件,安装后可识别smali文件,用于动态调试).
动态调试工具ollydbg
05-05
强大的逆向动态调试工具,可在程序运行过程分析内存、寄存器等信息,此为2.01版本,解压密码xx123
OLLYDBG 动态追踪工具
04-17
OLLYDBG是一个新的动态追踪工具 将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具
OllyDbg 调试工具
07-29
OllyDbg的最强版本是HawkDbg,比普通的OD功能更加强大和神奇。
Ollydbg调试工具
09-01
吾爱破解专用调试工具,用于反汇编调试工作
ollydbg 动态追踪工具
09-04
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具
OllyDBG 的安装与配置
05-11
一、 OllyDBG 的安装与配置
教你如何动态调试 iOS App(反编译App)
weixin_34329187的博客
04-18 1331
开篇通过本文你能了解 iOS 逆向的基本知识,对 iOS App 的安全有一定了解。然后能举一反三,在自家 App 找到危险漏洞加以预防,保证用户数据安全。在安全领域,攻与防永远存在。哪怕是 iPhone 有着强大的安全防护机制,也挡不住那些极客们一次又一次的好奇,开发了很多强大且便利的工具。本文就是在这些极客们提供的工具的基础上完成的!准备工具Mac 电脑和越狱 iPhone 手机查看手机系统目...
dbg 工具使用
langxianwu的专栏
05-12 919
主要步骤自己记下 dbg:tracer() dbg:p(Pid,Flags) Flags can be a single atom, or a list of flags. The available flags are: s (send) Traces the messages the process sends. r (receive) Traces the mess...
【加解密学习笔记:第二天】动态调试工具OllyDbg使用基础介绍
sinat_35794373的博客
08-16 969
首先说一下OllyDbg的界面,如下图所示 下面依次介绍: 反汇编面板:有四列,从左到右依次为:地址(Address),机器码(Hex dump),反汇编代码(Disassembly),注释(Comment) 信息面板:在进行动态跟踪时,信息面板窗口(Information window)将显示与指令相关的各寄存器的值,API函数调用提示和跳转信息提示等信息。 数据面板:显示程序在内存中的数据,...
ollydbg调试exe感想
天元喜羊羊的博客
05-06 2812
仔细看了一下OllyDBG 入门系列(二)-字串参考,并且按照里面的步骤来做,感觉其实和在eclipse里面调试程序类似。 在eclipse里面,要调试一个类,但是没有源代码,那就要反编译。而disassemble就类似于反编译,把高级语言写好的exe,disassemble一下,只不过是汇编语言,要有点汇编语言的基础才行。ollydbg和eclipse加断点、单步等调试,感觉也差不多。
恶意代码分析-第九章-OllyDbg
每昔的博客
08-06 1134
目录   笔记 实验 Lab 9-1 Lab 9-2 Lab 9-3 笔记 加载文件: 执行代码: Execute till Return -> 在当前函数返回时暂停执行 -> CTRL-F9 Execute til User Code ->从库函数中出来回到user code -> ALT-F9 单步跳过陷阱:               0...
C语言入门(21)——使用DBG对C语言进行调试
尹成的技术博客
06-30 8625
C语言入门(21)——使用DBG对C语言进行调试
OllyDbg基础教程
w_g3366的博客
07-15 1万+
OllyDbg基础教程 工具栏 各种窗口切换 1.日志窗口(L): 2.模块窗口(E):查看每个模块的内存基址 3.内存窗口(M):查看每一个模块的段,所占用的内存区域 4.线程窗口(T):线程信息 5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息 6.句柄(H): 7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要 8.补丁窗口(/): 9:堆栈窗口(K):可...
ollydbg调试64位
09-05
对于调试64位应用程序,你可以使用OllyDbg的64位版本或者其他支持64位调试工具。以下是一些基本步骤: 1. 获取OllyDbg 64位版本:你可以在OllyDbg官方网站上下载最新的64位版本。 2. 打开目标程序:启动OllyDbg...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值