OllyDBG界面认识
-
反汇编窗口:显示被调试程序的反汇编代码。用鼠标左键点击注释标签可以切换注释显示的方式。如果需要修改代码,直接在这里在修改,比如“使用NOP填充”。
-
寄存器窗口:显示当前所选线程的CPU寄存器内容。点击标签
寄存器(FPU)可以切换显示寄存器的方式。 -
信息窗口:显示反汇编窗口中当前选中的第一条命令的参数及一些跳转目标地址、字串等
(一般动态加密解密字串等会在此出现)。 -
数据窗口:显示内存或文件的内容。直接点击
ASCII数据可以切换编码显示方式。 -
堆栈窗口:显示当前线程的堆栈数据。比如程序初始化的一些常量、变量之类的数据。
-
菜单窗口:一些常用调试命令以及操作。一般把鼠标移到
菜单窗口的某按钮后,界面最左下角会出现一些命令提示,比如单步步入(F7),单步步过F8,运行程序(F9)等。 -
命令行窗口:用来下断点等相关命令。
如何把OllyDBG添加到资源管理器?
- 要把 OllyDBG 添加到资源管理器右键菜单,只需点菜单
选项->添加到浏览器,将会出现一个对话框,先点击“添加 Ollydbg 到系统资源管理器菜单”,再点击“完成”按钮即可。 - 要从右键菜单中删除也很简单,还是这个对话框,点击“从系统资源管理器菜单删除 Ollydbg”,再点击“完成”就行了。
如何添加或安装OllyDBG插件
OllyDBG 支持插件功能,插件的安装也很简单,只要把下载的插件(一般是个 DLL 文件)复制到 OllyDBG 安装目录下的 PLUGIN 目录中就可以了,OllyDBG 启动时会自动识别。要注意的是 OllyDBG 1.10 对插件的个数有限制,最多不能超过 32 个,否则会出错。建议插件不要添加的太多。
调试方法
od调试方法一般有2种:
- 1、直接文件--打开(F3),进行调试
- 2、文件-附加 ,进行调试,附加必须是已经运行的程序才可以。
一般常用调试流程:
先用OD载入程序执行一遍,然后找到你想要找的关键字(一般不能一开始载入程序就一步一步的断点下去,这样很浪费时间),下断点。再按需要按:
F2:设置断点,只要在光标定位的位置(上图中灰色条)按F2键即可,再按一次F2键则会删除断点。
F4:程序运行到选定位置。作用就是直接运行到光标所在位置处暂停(当碰到程序有循环时把鼠标选中循环外的第一条命令然后按F4就跳过了循环,不用在循环内一步一步的执行,可以节约大量时间)。
F7:单步步入。功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。
F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。
F9:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
CTR+F9:执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停,常用于从系统领空返回到我们调试的程序领空。
ALT+F9:执行到用户代码。