OllyICE入門教程 OllyICE使用實例教程初學必備
ollyice是一款Windows平臺下知名的反匯編軟件,目前已經代替SoftICE成為當今最為流行的調試解密工具之一,同時,ollyice還支持插件擴展功能,最擅長分析函數過程、循環語句、選擇語句、表、常量、代碼中的字符串、欺騙性指令、API調用、函數中參數的數目和import表等等,這些分析增加瞭二進制代碼的可讀性,減少瞭出錯的可能性,使得我們的調試工作更加容易。需要的朋友們可以下載試試!
需要說明的是,由於OllyDBG 1.1官方以不再更新,故一些愛好者對OllyDBG修改,以新增一些功能或修正一些bug,OllyICE就是其中的一個修改版,取名OllyICE隻是便於區分,其實質還是OllyDBG,本站為大傢提供的就是ollyice v1.10綠色中文版,軟件已經綠色漢化,確保無毒,對中文的支持比較好。
- 軟件名稱:
- ollyice(反匯編工具) v1.10 中文免費綠色版
- 軟件大小:
- 4.73MB
- 更新時間:
- 2016-08-16立即下載
一、OllyDBG 的安裝與配置
OllyDBG 1.10 版的發佈版本是個 ZIP 壓縮包,隻要解壓到一個目錄下,運行 OllyDBG.exe 就可以瞭。漢化版的發佈版本是個 RAR 壓縮包,同樣隻需解壓到一個目錄下運行 OllyDBG.exe 即可:
OllyDBG 中各個窗口的功能如上圖。簡單解釋一下各個窗口的功能,更詳細的內容可以參考 TT 小組翻譯的中文幫助:
反匯編窗口:顯示被調試程序的反匯編代碼,標題欄上的地址、HEX 數據、反匯編、註釋可以通過在窗口中右擊出現的菜單 界面選項->隱藏標題 或 顯示標題 來進行切換是否顯示。用鼠標左鍵點擊註釋標簽可以切換註釋顯示的方式。
寄存器窗口:顯示當前所選線程的 CPU 寄存器內容。同樣點擊標簽 寄存器 (FPU) 可以切換顯示寄存器的方式。
信息窗口:顯示反匯編窗口中選中的第一個命令的參數及一些跳轉目標地址、字串等。
數據窗口:顯示內存或文件的內容。右鍵菜單可用於切換顯示方式。
堆棧窗口:顯示當前線程的堆棧。
要調整上面各個窗口的大小的話,隻需左鍵按住邊框拖動,等調整好瞭,重新啟動一下 OllyDBG 就可以生效瞭。
啟動後我們要把插件及 UDD 的目錄配置為絕對路徑,點擊菜單上的 選項->界面,將會出來一個界面選項的對話框,我們點擊其中的目錄標簽:
因為我這裡是把 OllyDBG 解壓在 F:\OllyDBG 目錄下,所以相應的 UDD 目錄及插件目錄按圖上配置。還有一個常用到的標簽就是上圖後面那個字體,在這裡你可以更改 OllyDBG 中顯示的字體。上圖中其它的選項可以保留為默認,若有需要也可以自己修改。修改完以後點擊確定,彈出一個對話框,說我們更改瞭插件路徑,要重新啟動 OllyDBG。在這個對話框上點確定,重新啟動一下 OllyDBG,我們再到界面選項中看一下,會發現我們原先設置好的路徑都已保存瞭。有人可能知道插件的作用,但對那個 UDD 目錄不清楚。我這簡單解釋一下:這個 UDD 目錄的作用是保存你調試的工作。比如你調試一個軟件,設置瞭斷點,添加瞭註釋,一次沒做完,這時 OllyDBG 就會把你所做的工作保存到這個 UDD 目錄,以便你下次調試時可以繼續以前的工作。如果不設置這個 UDD 目錄,OllyDBG 默認是在其安裝目錄下保存這些後綴名為 udd 的文件,時間長瞭就會顯的很亂,所以還是建議專門設置一個目錄來保存這些文件。
另外一個重要的選項就是調試選項,可通過菜單 選項->調試設置 來配置:
新手一般不需更改這裡的選項,默認已配置好,可以直接使用。建議在對 OllyDBG 已比較熟的情況下再來進行配置。上面那個異常標簽中的選項經常會在脫殼中用到,建議在有一定調試基礎後學脫殼時再配置這裡。
除瞭直接啟動 OllyDBG 來調試外,我們還可以把 OllyDBG 添加到資源管理器右鍵菜單,這樣我們就可以直接在 .exe 及 .dll 文件上點右鍵選擇“用Ollydbg打開”菜單來進行調試。要把 OllyDBG 添加到資源管理器右鍵菜單,隻需點菜單 選項->添加到瀏覽器,將會出現一個對話框,先點擊“添加 Ollydbg 到系統資源管理器菜單”,再點擊“完成”按鈕即可。要從右鍵菜單中刪除也很簡單,還是這個對話框,點擊 “從系統資源管理器菜單刪除 Ollydbg”,再點擊“完成”就行瞭。
OllyDBG 支持插件功能,插件的安裝也很簡單,隻要把下載的插件(一般是個 DLL 文件)復制到 OllyDBG 安裝目錄下的 PLUGIN 目錄中就可以瞭,OllyDBG 啟動時會自動識別。要註意的是 OllyDBG 1.10 對插件的個數有限制,最多不能超過 32 個,否則會出錯。建議插件不要添加的太多。
到這裡基本配置就完成瞭,OllyDBG 把所有配置都放在安裝目錄下的 ollydbg.ini 文件中。
二、基本調試方法
OllyDBG 有三種方式來載入程序進行調試,一種是點擊菜單 文件->打開 (快捷鍵是 F3)來打開一個可執行文件進行調試,另一種是點擊菜單 文件- >附加 來附加到一個已運行的進程上進行調試。註意這裡要附加的程序必須已運行。第三種就是用右鍵菜單來載入程序(不知這種算不算)。一般情況下我們選第一種方 式。比如我們選擇一個 test.exe 來調試,通過菜單 文件->打開 來載入這個程序,OllyDBG 中顯示的內容將會是這樣:
調試中我們經常要用到的快捷鍵有這些:
F2:設置斷點,隻要在光標定位的位置(上圖中灰色條)按F2鍵即可,再按一次F2鍵則會刪除斷點。(相當於 SoftICE 中的 F9)
F8:單步步過。每按一次這個鍵執行一條反匯編窗口中的一條指令,遇到 CALL 等子程序不進入其代碼。(相當於 SoftICE 中的 F10)
F7:單步步入。功能同單步步過(F8)類似,區別是遇到 CALL 等子程序時會進入其中,進入後首先會停留在子程序的第一條指令上。(相當於 SoftICE 中的 F8)
F4:運行到選定位置。作用就是直接運行到光標所在位置處暫停。(相當於 SoftICE 中的 F7)
F9:運行。按下這個鍵如果沒有設置相應斷點的話,被調試的程序將直接開始運行。(相當於 SoftICE 中的 F5)
CTR+F9:執行到返回。此命令在執行到一個 ret (返回指令)指令時暫停,常用於從系統領空返回到我們調試的程序領空。(相當於 SoftICE 中的 F12)
ALT+F9:執行到用戶代碼。可用於從系統領空快速返回到我們調試的程序領空。(相當於 SoftICE 中的 F11)
現在我們開始正式進入破解。今天的目標程序是看雪兄《加密與解 密》第一版附帶光盤中的 crackmes.cjb.net 鏡像打包中的 CFF Crackme #3,采用用戶名/序列號保護方式。原版加瞭個 UPX 的殼。剛開始學破解先不涉及殼的問題,我們主要是熟悉用 OllyDBG 來破解的一般方法。我這裡把殼脫掉來分析,附件是脫殼後的文件,直接就可以拿來用。先說一下一般軟件破解的流程:拿到一個軟件先別接著馬上用 OllyDBG 調試,先運行一下,有幫助文檔的最好先看一下幫助,熟悉一下軟件的使用方法,再看看註冊的方式。如果是序列號方式可以先輸個假的來試一下,看看有什麼反 應,也給我們破解留下一些有用的線索。如果沒有輸入註冊碼的地方,要考慮一下是不是讀取註冊表或 Key 文件(一般稱 keyfile,就是程序讀取一個文件中的內容來判斷是否註冊),這些可以用其它工具來輔助分析。如果這些都不是,原程序隻是一個功能不全的試用版,那要 註冊為正式版本就要自己來寫代碼完善瞭。有點跑題瞭,呵呵。獲得程序的一些基本信息後,還要用查殼的工具來查一下程序是否加瞭殼,若沒殼的話看看程序是什 麼編譯器編的,如 VC、Delphi、VB 等。這樣的查殼工具有 PEiD 和 FI。有殼的話我們要盡量脫瞭殼後再來用 OllyDBG 調試,特殊情況下也可帶殼調試。下面進入正題:
我們先來運行一下這個 crackme(用 PEiD 檢測顯示是 Delphi 編的),界面如圖:
這個 crackme 已經把用戶名和註冊碼都輸好瞭,省得我們動手^_^。我們在那個“Register now !”按鈕上點擊一下,將會跳出一個對話框:
好瞭,今天我們就從這個錯誤對話框中顯示的“Wrong Serial, try again!”來入手。啟動 OllyDBG,選擇菜單 文件->打開 載入 CrackMe3.exe 文件,我們會停在這裡:
我們在反匯編窗口中右擊,出來一個菜單,我們在 查找->所有參考文本字串 上左鍵點擊:
當然如果用上面那個 超級字串參考+ 插件會更方便。但我們的目標是熟悉 OllyDBG 的一些操作,我就盡量使用 OllyDBG 自帶的功能,少用插件。好瞭,現在出來另一個對話框,我們在這個對話框裡右擊,選擇“查找文本”菜單項,輸入“Wrong Serial, try again!”的開頭單詞“Wrong”(註意這裡查找內容要區分大小寫)來查找,找到一處:
在我們找到的字串上右擊,再在出來的菜單上點擊“反匯編窗口中跟隨”,我們來到這裡:
見上圖,為瞭看看是否還有其他的參考,可以通過選擇右鍵菜單查找參考->立即數,會出來一個對話框:
分別雙擊上面標出的兩個地址,我們會來到對應的位置:
00440F79 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F7E |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F83 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F85 |. E8 DEC0FFFF CALL CrackMe3.0043D068
00440F8A |. EB 18 JMP SHORT CrackMe3.00440FA4
00440F8C |> 6A 00 PUSH 0
00440F8E |. B9 80104400 MOV ECX,CrackMe3.00441080 ; ASCII "Beggar off!"
00440F93 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F98 |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F9D |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F9F |. E8 C4C0FFFF CALL CrackMe3.0043D068
我們在反匯編窗口中向上滾動一下再看看:
00440F2C |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00440F2F |. BA 14104400 MOV EDX,CrackMe3.00441014 ; ASCII "Registered User"
00440F34 |. E8 F32BFCFF CALL CrackMe3.00403B2C ; 關鍵,要用F7跟進去
00440F39 |. 75 51 JNZ SHORT CrackMe3.00440F8C ; 這裡跳走就完蛋
00440F3B |. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4]
00440F3E |. 8B83 C8020000 MOV EAX,DWORD PTR DS:[EBX+2C8]
00440F44 |. E8 D7FEFDFF CALL CrackMe3.00420E20
00440F49 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00440F4C |. BA 2C104400 MOV EDX,CrackMe3.0044102C ; ASCII "GFX-754-IER-954"
00440F51 |. E8 D62BFCFF CALL CrackMe3.00403B2C ; 關鍵,要用F7跟進去
00440F56 |. 75 1A JNZ SHORT CrackMe3.00440F72 ; 這裡跳走就完蛋
00440F58 |. 6A 00 PUSH 0
00440F5A |. B9 3C104400 MOV ECX,CrackMe3.0044103C ; ASCII "CrackMe cracked successfully"
00440F5F |. BA 5C104400 MOV EDX,CrackMe3.0044105C ; ASCII "Congrats! You cracked this CrackMe!"
00440F64 |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F69 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F6B |. E8 F8C0FFFF CALL CrackMe3.0043D068
00440F70 |. EB 32 JMP SHORT CrackMe3.00440FA4
00440F72 |> 6A 00 PUSH 0
00440F74 |. B9 80104400 MOV ECX,CrackMe3.00441080 ; ASCII "Beggar off!"
00440F79 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F7E |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F83 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F85 |. E8 DEC0FFFF CALL CrackMe3.0043D068
00440F8A |. EB 18 JMP SHORT CrackMe3.00440FA4
00440F8C |> 6A 00 PUSH 0
00440F8E |. B9 80104400 MOV ECX,CrackMe3.00441080 ; ASCII "Beggar off!"
00440F93 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F98 |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F9D |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F9F |. E8 C4C0FFFF CALL CrackMe3.0043D068
大傢註意看一下上面的註釋,我在上面標瞭兩個關鍵點。有人可能要問,你怎麼知道那兩個地方是關鍵點?其實很簡單,我是根據查看是哪條指令跳到 “wrong serial,try again”這條字串對應的指令來決定的。如果你在 調試選項->CPU 標簽中把“顯示跳轉路徑”及其下面的兩個“如跳轉未實現則顯示灰色路徑”、“顯示跳轉到選定命令的路徑”都選上的話,就會看到是從什麼地方跳到出錯字串處 的:
我們在上圖中地址 00440F2C 處按 F2 鍵設個斷點,現在我們按 F9 鍵,程序已運行起來瞭。我在上面那個編輯框中隨便輸入一下,如 CCDebuger,下面那個編輯框我還保留為原來的“754-GFX-IER-954”,我們點一下那個“Register now !”按鈕,呵, OllyDBG 跳瞭出來,暫停在我們下的斷點處。我們看一下信息窗口,你應該發現瞭你剛才輸入的內容瞭吧?我這裡顯示是這樣:
堆棧 SS:[0012F9AC]=00D44DB4, (ASCII "CCDebuger")
EAX=00000009
上面的內存地址 00D44DB4 中就是我們剛才輸入的內容,我這裡是 CCDebuger。你可以在 堆棧 SS:[0012F9AC]= 00D44DB4, (ASCII "CCDebuger") 這條內容上左擊選擇一下,再點右鍵,在彈出菜單中選擇“數據窗口中跟隨數值”,你就會在下面的數據窗口中看到你剛才輸入的內容。而 EAX=00000009 指的是你輸入內容的長度。如我輸入的 CCDebuger 是9個字符。如下圖所示:
現在我們來按 F8 鍵一步步分析一下:
00440F2C |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] ; 把我們輸入的內容送到EAX,我這裡是“CCDebuger”
00440F2F |. BA 14104400 MOV EDX,CrackMe3.00441014 ; ASCII "Registered User"
00440F34 |. E8 F32BFCFF CALL CrackMe3.00403B2C ; 關鍵,要用F7跟進去
00440F39 |. 75 51 JNZ SHORT CrackMe3.00440F8C ; 這裡跳走就完蛋
當我們按 F8 鍵走到 00440F34 |. E8 F32BFCFF CALL CrackMe3.00403B2C 這一句時,我們按一下 F7 鍵,進入這個 CALL,進去後光標停在這一句:
我們所看到的那些 PUSH EBX、 PUSH ESI 等都是調用子程序保存堆棧時用的指令,不用管它,按 F8 鍵一步步過來,我們隻關心關鍵部分:
00403B2C /$ 53 PUSH EBX
00403B2D |. 56 PUSH ESI
00403B2E |. 57 PUSH EDI
00403B2F |. 89C6 MOV ESI,EAX ; 把EAX內我們輸入的用戶名送到 ESI
00403B31 |. 89D7 MOV EDI,EDX ; 把EDX內的數據“Registered User”送到EDI
00403B33 |. 39D0 CMP EAX,EDX ; 用“Registered User”和我們輸入的用戶名作比較
00403B35 |. 0F84 8F000000 JE CrackMe3.00403BCA ; 相同則跳
00403B3B |. 85F6 TEST ESI,ESI ; 看看ESI中是否有數據,主要是看看我們有沒有輸入用戶名
00403B3D |. 74 68 JE SHORT CrackMe3.00403BA7 ; 用戶名為空則跳
00403B3F |. 85FF TEST EDI,EDI
00403B41 |. 74 6B JE SHORT CrackMe3.00403BAE
00403B43 |. 8B46 FC MOV EAX,DWORD PTR DS:[ESI-4] ; 用戶名長度送EAX
00403B46 |. 8B57 FC MOV EDX,DWORD PTR DS:[EDI-4] ; “Registered User”字串的長度送EDX
00403B49 |. 29D0 SUB EAX,EDX ; 把用戶名長度和“Registered User”字串長度相減
00403B4B |. 77 02 JA SHORT CrackMe3.00403B4F ; 用戶名長度大於“Registered User”長度則跳
00403B4D |. 01C2 ADD EDX,EAX ; 把減後值與“Registered User”長度相加,即用戶名長度
00403B4F |> 52 PUSH EDX
00403B50 |. C1EA 02 SHR EDX,2 ; 用戶名長度值右移2位,這裡相當於長度除以4
00403B53 |. 74 26 JE SHORT CrackMe3.00403B7B ; 上面的指令及這條指令就是判斷用戶名長度最少不能低於4
00403B55 |> 8B0E MOV ECX,DWORD PTR DS:[ESI] ; 把我們輸入的用戶名送到ECX
00403B57 |. 8B1F MOV EBX,DWORD PTR DS:[EDI] ; 把“Registered User”送到EBX
00403B59 |. 39D9 CMP ECX,EBX ; 比較
00403B5B |. 75 58 JNZ SHORT CrackMe3.00403BB5 ; 不等則完蛋
根據上面的分析,我們知道用戶名必須是“Registered User”。我們按 F9 鍵讓程序運行,出現錯誤對話框,點確定,重新在第一個編輯框中輸入“Registered User”,再次點擊那個“Register now !”按鈕,被 OllyDBG 攔下。因為地址 00440F34 處的那個 CALL 我們已經分析清楚瞭,這次就不用再按 F7 鍵跟進去瞭,直接按 F8 鍵通過。我們一路按 F8 鍵,來到第二個關鍵代碼處:
00440F49 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] ; 取輸入的註冊碼
00440F4C |. BA 2C104400 MOV EDX,CrackMe3.0044102C ; ASCII "GFX-754-IER-954"
00440F51 |. E8 D62BFCFF CALL CrackMe3.00403B2C ; 關鍵,要用F7跟進去
00440F56 |. 75 1A JNZ SHORT CrackMe3.00440F72 ; 這裡跳走就完蛋
大傢註意看一下,地址 00440F51 處的 CALL CrackMe3.00403B2C 和上面我們分析的地址 00440F34 處的 CALL CrackMe3.00403B2C 是不是匯編指令都一樣啊?這說明檢測用戶名和註冊碼是用的同一個子程序。而這個子程序 CALL 我們在上面已經分析過瞭。我們執行到現在可以很容易得出結論,這個 CALL 也就是把我們輸入的註冊碼與 00440F4C 地址處指令後的“GFX- 754-IER-954”作比較,相等則 OK。好瞭,我們已經得到足夠的信息瞭。現在我們在菜單 查看->斷點 上點擊一下,打開斷點窗口(也可以通過組合鍵 ALT+B 或點擊工具欄上那個“B”圖標打開斷點窗口):
為什麼要做這一步,而不是把這個斷點刪除呢?這裡主要是為瞭保險一點,萬一分析錯誤,我們還要接著分析,要是把斷點刪除瞭就要做一些重復工作瞭。還是先禁 用一下,如果經過實際驗證證明我們的分析是正確的,再刪不遲。現在我們把斷點禁用,在 OllyDBG 中按 F9 鍵讓程序運行。輸入我們經分析得出的內容:
用戶名:Registered User
註冊碼:GFX-754-IER-954
點擊“Register now !”按鈕,呵呵,終於成功瞭:
快捷鍵命令
這些快捷鍵命令原版OllyDBG中沒有,是OllyICE後加上去的,相信會大大提高操作的方便性。
1).二進制復制/粘貼快捷鍵
反匯編窗口:Shift+C/Shift+V
數據窗口:Shift+C/Shift+V
註意:數據窗口中,Shift+V時,不必選擇塊大小,會將剪粘板的數據全部粘貼上去。
2).查看數據
push A480033 //如果按回車鍵,則數據窗口中顯示A480033數據,此行按Shift+回車鍵,即可跳到A480033地址;
mov eax,401000 //此行按回車,則數據窗口中顯示401000 數據
mov eax,[401000] //此行按回車,則數據窗口中顯示401000 數據
mov [ebp-4], esp //此行按回車,則數據窗口中顯示ebp-4的值(註意EIP必須指向當前行)
mov eax, [esp+10]//此行按回車,則數據窗口中顯示esp+10的值(註意EIP必須指向當前行)
3).數據窗口查看數據 (來源於heXer)
數據窗口:
00406000 00 10 40 00 00 00 00 00 00 00 00 00 CA 2E 40 00 .@………?@.
^
光標移到“00 10 40 00”第一字節00處,按回車,反匯編窗口顯示401000;Shift+回車,數據窗口顯示401000
4).堆棧窗口 (來源於heXer)
0012FF44 00401D8A //按回車,反匯編窗口顯示0401D8A;Shift+回車,數據窗口顯示0401D8A
0012FF48 00000000
5).數據窗口選擇數據顯示
當光標在數據窗口移動時,會顯示出光標起始地址、結束地址,以及選中的塊大小。
6).數據窗口切換到代碼窗口
00406000 00 12 40 00 00 00 00 00 00 00 00 00 CA 2E 40 00 .@………?@.
^
光標移到“00 12 40 00”第一字節00處,按Ctrl+雙擊鼠標,則反匯編窗口顯示光標所在地址,即00406000開始的代碼
7).反匯編窗口或數據窗口取當前地址
快捷鍵:ctrl+X
例如:
004091C0 push ebp
004091C1 mov ebp, esp
004091C3 push -1 //此行按快捷鍵ctrl+X ,則將地址004091C3復制到剪粘板裡
數據窗口同樣操作。
0040DD40 55 8B EC 83 EC 08 53 56 57 55 FC 8B 5D 0C 8B 45 U
快捷鍵命令增加:kanxue
感謝heXer,CoDe_Inject給與的幫助與提示!
OllyDBG技巧
下文中OD是OllyDBG的簡稱。
Q: OD中如何運行到光標所在處?
A: 將光標移到目標位置,按F4.
Q: 如何用OD修改可執行程序?
A:直接在反匯編代碼區更改,這時可以使用匯編代碼更改,然後選中修改後的匯編代碼,右擊–>復制到可執行文件–>保存文件.
Q:OD中的代碼亂碼,如:
004365E0 >db 68 ; CHAR ‘h’
004365E1 >db A4
004365E2 >db 7A ; CHAR ‘z’
004365E3 >db E5
004365E4 >db B8
004365E5 >db E8
004365E6 >db BB
A:OD右鍵,"分析/從模板中刪除分析",如不行,按Ctrl+A重新分析
Q:OD為什麼刪除瞭斷點,重新加載的時候,這些斷點都會重新出現
A:設置ollydbg.ini,將配制文件裡改成如下:Backup UDD files=1 (by kanxue)
Q:如何還原到OD到分析前的狀態?
A:右鍵 分析/從模塊中刪除掃描
Q:什麼是UDD?
A:OllyDbg 把所有程序或模塊相關的信息保存至單獨的文件中,並在模塊重新加載時繼續使用。這些信息包括瞭標簽、註釋、斷點、監視、分析數據、條件等等
Q:OD的數據窗口顯示一個下劃線,是什麼意思?
A:重定位加下劃線[Underline fixups],幾乎所有的DLL和一部分程序都包含重定位,這樣就可以在內存中的不同基地址加載模塊瞭。當該項開啟時,CPU反匯編窗口或CPU數據窗口中的重定位地址都將添加下劃線。(xing_xsz)
Q:如果已經知道某一CALL的具體作用,能否把後面所有相同的CALL都改成函數名形式?
A:比如 CALL 110000 此中已經知道110000是一個核心計算
則如下操作,讓光標停在CALL 110000 這個語句上,按回車鍵
會跳到110000的地址上去顯示,之後讓光標停在110000上,按
shift 和; (分號) 其實就是完成一個:(冒號)的動作,輸入
名稱,這回所有的調用110000處,都會顯示CALL 你剛才輸入的
名稱瞭.(nig回答)
Q:用OD調試一些加殼程序,如Themida等,可能你會發現下斷後(包括硬件斷點),程序跑到斷點時,OD會出現假死現像。
A:打開OD配置文件ollydbg.ini,你會發現:Restore windows= 123346 //這個Restore windows可能會是一個**的值
現在隻需要將Restore windows=0,重新用OD調試程序,假死問題就消失瞭。 (kanxue)
Q:ollydbg中如何調用pdb文件?
A:
pdb文件是VC++調試編譯生成的文件。由編譯器直接生成。
pdb文件要配合源文件使用。不同的源文件pdb文件不同。
用OD裝入可執行文件後,點擊CPU窗口中的註釋段可出現源碼。
不過不是所有的源碼都可以顯示的。VC++6.0以下都可以顯示。
還有一種不顯示的原因是缺少路徑。點擊OD主菜單的[查看]->[源文件]
如果[源碼]段出現(缺少)字樣的話,說明此路徑的源碼是看不瞭的。設置正確的路徑就可以瞭。
(nantz回答)
Q:運行A.exe,其會調用B.exe,如果用OD再附加B.exe,OD會死掉
A:
1.OD菜單,設置OD為即時調試器;
2.將B.exe的入口改成CC,即INT 3指令,同時記下原指令
3.運行A.exe,其調用B.exe,會導致異常,OD會自動啟動加載B.exe,此時你將INT 3指令恢復原指令。
4.到這步,你己可以任意調試B.exe瞭(kanxue)
Q:用ollydbg調試的時候,斷住kernel32.dll系統函數,然後”執行到用戶代碼“,就可以回到被調程序的代碼。但有時候卻回不來,不知道這又是為什麼?
A:
多半是殺毒軟件(如卡巴對LoadLibraryA)Hook API入口代碼進入ring 0瞭,OllyDbg不能單步跟蹤,這種情況下隻要看堆棧返回地址,在返回地址上下端點,F9執行就可以瞭。(cyclotron回答)