目錄
一、OllyDbg基本知識
1.1簡介
OllyDbg是一種具有可視化界面的匯編分析調試器,是一個支持插件擴展功能的動態追蹤工具。
1.2窗口界面
1.2.1窗口組成
該窗口界面(CPU)由下圖所示的5個子窗口組成:
1.2.2窗口功能
反匯編窗口:顯示被調試程序的反匯編代碼,包括地址欄、HEX數據欄(機器碼)、匯編指令 欄、注釋欄。
寄存器窗口:顯示CPU各個寄存器的值。
信息窗口:顯示與指令相關的各寄存器的值、API函數調用提示和跳轉提示等信息。
數據窗口:顯示內存數據,包括地址欄、十六進制數據欄、ASCII欄。
堆棧窗口:顯示當前線程的堆棧。
1.3常用快捷鍵
F2:設置或取消設置斷點
F3:加載一個可執行程序,進行分析調試
F4:程序執行到光標處
F7:單步步入,遇到call指令跟進
F8:單步步過,遇到call指令不跟進
F9:運行程序到斷點處
Ctrl+F2:重新執行程序到起始處
Ctrl+F9:執行到函數返回
Ctrl+E:編輯內存內容
Ctrl+G:輸入地址,進行定位
Alt+F9:執行到用戶代碼
二、測試修改實例
2.1測試內容
本測試完成對彈窗程序中MessageBox標題與內容的修改。
2.2測試環境
Windows 10、VS 2017(沒有特定的版本,無論是win7還是vs 2015影響都不大)
2.3測試程序
測試程序為一個彈窗的exe程序,源碼如下:
#include<Windows.h> int main() { MessageBox(0,"test","hello world",MB_OK); return 0; }2.4測試步驟
2.4.1將程序載入OD
通過快捷鍵F3或者左上角“file->open”載入程序
2.4.2定位內存地址
1.找到“hello world”的位置,雙擊所在行的匯編指令欄(第三列),得到存儲字符串的內存地址
2.在數據窗口按“ctrl+G”鍵搜索地址
3.同樣的方法定位“test”的地址
2.4.3修改內容
按“ctrl+E”鍵對內容進行修改,修改過程中注意將keep size的“√”去掉、字符串最后用“00”填充。
2.5測試結果
修改前:
修改后:
三、小結
OllyDbg通常用於程序的逆向工程(比如游戲開掛,是一種流行的調試器,需要用戶具備匯編語言的知識。
網上有很多版本的OD,以及五花八門的插件,大家注意識別,可能有些捆綁了惡意軟件。推薦從吾愛破解或者看雪論壇上面下載。
大家有問題的可以評論區留言or私信博主,博主全天24小時在線!