OD(OllyDbg)使用教程.ppt

1、工具介绍OLLDbg调试器，什么是OLLDbg？OllyDbg是一个带有可视化界面的用户模式调试器。它结合了动态调试和静态分析，并有一个强大的反汇编引擎。它可以识别成千上万个由C和Windows使用的函数，注释它们的参数，并自动分析函数过程、循环语句、代码中的字符串等。让我们了解OllyDbg的接口，显示被调试程序的反汇编代码，并显示当前选中线程的中央处理器寄存器内容。显示在反汇编窗口中选择的第一个命令的参数、一些跳转目标地址、字符串等。并显示内存或文件的内容。显示当前线程的堆栈，在反汇编窗口的列中，双击效果：地址列：显示相对于被点击地址的地址，再次双击返回标准地址模式；十六进制数据列：设置或

2、取消无条件断点，对应的快捷键为F2键；反汇编列：调用汇编程序，可以直接修改汇编代码；注释栏：允许添加或编辑注释，对应的快捷键为“；”键，我们在调试中经常使用这些快捷键：F2:设置断点，只需在光标位置(上图中的灰色条)按F2键，再按F2键，断点F8:一步一步删除。每次按下此键，您将在反汇编窗口中执行一条指令。如果您遇到子程序，如调用，您将不会输入其代码F7:一步到位。该函数类似于逐步(F8)，但不同的是，当遇到一个子程序，如调用，它将进入它。进入后，它将首先停留在子程序F4的第一条指令：运行到选定的位置。功能是直接运行到光标位置暂停F9:运行。如果按下此键没有设置相应的断点，被调试程序将直接开始

3、运行CTR F9:从执行到返回。当执行ret(返回指令)命令时，该命令被挂起，ret(返回指令)命令通常用于从系统空间返回到我们调试的程序空间ALT F9:执行用户代码。它可以用来从系统空间快速返回到我们调试的程序空间。如何加载程序？单击菜单文件-打开(快捷键为F3)打开一个可执行文件进行调试，然后单击菜单文件-附加附加一个正在运行的进程进行调试。请注意，此处附加的程序必须已经在运行。基本操作：1 .准备工作我们以Traceme为例，了解Traceme序列号的验证过程；2.加载调试目标文件，并在运行OllyDbg后打开选项/调试设置。程序运行后，系统空间中会触发一个INT3、文件入口点和Win

4、main()函数入口点，但通常是在文件入口点。加载文件，如图：虚拟地址，机器码：由中央处理器执行的机器码，汇编指令：对应机器码的程序码，3。单步跟踪，调试器最基本的功能之一是动态跟踪。单步跟踪功能键：F7和F8的区别在于，F8会在遇到CALL时直接跳过，而F7会跟随。设置断点，这是一个调试器。它可以在需要的地方中断程序，所以分析起来很方便。常用的断点是int3，其原理是OllyDbg将断点处的代码设置为INT3指令。方法：将光标移动到要设置断点的行，然后按F2键进行设置，或者双击十六进制数据列。目的：运行时可以在断点处停止软件，便于重复跟踪和调试。当程序关闭时，OllyDbg会将设置的断点保存

5、在UDD文件中，该文件在下次运行时有效。调试分析：调试分析实际上是分析程序代码的含义，如图所示：在阅读这些代码时，我们应该首先了解API函数的定义和那些汇编代码的具体含义。6.保存修改后的文件，我们在那里修改它，然后右键单击并将其复制到文件中，以保存当前的修改。现在让我们给你一个简单的例子。要破解TraceMe的注册码，操作步骤如下：首先，当然要加载TraceMe。加载后，将出现以下窗口和文件入口点。然后，我们需要找到GetDlgItemTextA函数，因为程序需要从文本框中读取内容。我们使用Ctrl+G打开表达式后面的窗口，并在其中输入函数名来跟踪函数名存在的位置。注意：此时的空域是模块US

6、ER32，它是某个时刻中央处理器的CS:EIP指向的代码的所有者。然后，在USER32的空域中，按下77D6B05E代码行中的F2，断开断点，然后按下F9运行。然后输入下图：点击检查，可以看到程序在断点处被OD停止，如图：然后按Alt F9返回到用户代码，可以返回：注意：这是返回到TraceMe的空域，我们可以按Alt B调出断点窗口，然后把GetDlgItemTextA的断点改为禁止，那么下一个断点就是004011AE。因为GetDlgItemTextA函数在这里被调用，然后这些汇编代码的含义将被分析，我们在使用这个软件时必须理解这些代码的含义。现在我们只知道这个软件的功能，所以我们不会对每

7、个人都做分析，然后我们会修改代码。事实上，如果我们分析它，我们可以发现问题在于代码行- 004011F5，修改这个反汇编代码段，双击反汇编列，按空格键，键入NOP，单击assembly，最后运行F9，您会看到：这里有一些常用的汇编代码含义供分析：MOV传输单词或字节，如MOV A B，也就是说，将B中的单词传递给A PUSH，将单词推到堆栈上，调用子程序， 调用异或指令进行异或运算，即所谓的异或运算，即如果两个值不同，则为真，否则，return指令的比较为假RET子程序。 (减去两个操作数，只修改标志位，不返回结果)JNZ(或JNE)opr-结果不是零传输，测试条件ZF=0 DEC减1 INC加1 JZ(或je)opr-结果是零传输，测试条件ZF=1 SUB减去LEA并加载有效地址示例： LEA DX，字符串；将偏移地址保存到DX。当使用CX/ECX0时，重复和操作测试。(两个操作数做and运算，只修改标志位，不返回