OllyDBG界面認識
-
反匯編窗口:顯示被調試程序的反匯編代碼。用鼠標左鍵點擊注釋標簽可以切換注釋顯示的方式。如果需要修改代碼,直接在這里在修改,比如“使用NOP填充”。
-
寄存器窗口:顯示當前所選線程的CPU寄存器內容。點擊標簽
寄存器(FPU)可以切換顯示寄存器的方式。 -
信息窗口:顯示反匯編窗口中當前選中的第一條命令的參數及一些跳轉目標地址、字串等
(一般動態加密解密字串等會在此出現)。 -
數據窗口:顯示內存或文件的內容。直接點擊
ASCII數據可以切換編碼顯示方式。 -
堆棧窗口:顯示當前線程的堆棧數據。比如程序初始化的一些常量、變量之類的數據。
-
菜單窗口:一些常用調試命令以及操作。一般把鼠標移到
菜單窗口的某按鈕后,界面最左下角會出現一些命令提示,比如單步步入(F7),單步步過F8,運行程序(F9)等。 -
命令行窗口:用來下斷點等相關命令。
如何把OllyDBG添加到資源管理器?
- 要把 OllyDBG 添加到資源管理器右鍵菜單,只需點菜單
選項->添加到瀏覽器,將會出現一個對話框,先點擊“添加 Ollydbg 到系統資源管理器菜單”,再點擊“完成”按鈕即可。 - 要從右鍵菜單中刪除也很簡單,還是這個對話框,點擊“從系統資源管理器菜單刪除 Ollydbg”,再點擊“完成”就行了。
如何添加或安裝OllyDBG插件
OllyDBG 支持插件功能,插件的安裝也很簡單,只要把下載的插件(一般是個 DLL 文件)復制到 OllyDBG 安裝目錄下的 PLUGIN 目錄中就可以了,OllyDBG 啟動時會自動識別。要注意的是 OllyDBG 1.10 對插件的個數有限制,最多不能超過 32 個,否則會出錯。建議插件不要添加的太多。
調試方法
od調試方法一般有2種:
- 1、直接文件--打開(F3),進行調試
- 2、文件-附加 ,進行調試,附加必須是已經運行的程序才可以。
一般常用調試流程:
先用OD載入程序執行一遍,然后找到你想要找的關鍵字(一般不能一開始載入程序就一步一步的斷點下去,這樣很浪費時間),下斷點。再按需要按:
F2:設置斷點,只要在光標定位的位置(上圖中灰色條)按F2鍵即可,再按一次F2鍵則會刪除斷點。
F4:程序運行到選定位置。作用就是直接運行到光標所在位置處暫停(當碰到程序有循環時把鼠標選中循環外的第一條命令然后按F4就跳過了循環,不用在循環內一步一步的執行,可以節約大量時間)。
F7:單步步入。功能同單步步過(F8)類似,區別是遇到 CALL 等子程序時會進入其中,進入后首先會停留在子程序的第一條指令上。
F8:單步步過。每按一次這個鍵執行一條反匯編窗口中的一條指令,遇到 CALL 等子程序不進入其代碼。
F9:運行。按下這個鍵如果沒有設置相應斷點的話,被調試的程序將直接開始運行。
CTR+F9:執行到返回。此命令在執行到一個 ret (返回指令)指令時暫停,常用於從系統領空返回到我們調試的程序領空。
ALT+F9:執行到用戶代碼。