[摘要]ollydbg(od反匯編工具)是當(dāng)前逆向工程主流的動(dòng)態(tài)跟蹤調(diào)試工具�,ollydbg(od反匯編工具)適合32位動(dòng)態(tài)調(diào)試����,調(diào)試過(guò)程可隨時(shí)插入全局標(biāo)簽��,過(guò)程直觀簡(jiǎn)練�,是反匯編工作必備的調(diào)試工具�����。本站提...
ollydbg(od反匯編工具)是當(dāng)前逆向工程主流的動(dòng)態(tài)跟蹤調(diào)試工具��,ollydbg(od反匯編工具)適合32位動(dòng)態(tài)調(diào)試���,調(diào)試過(guò)程可隨時(shí)插入全局標(biāo)簽�����,過(guò)程直觀簡(jiǎn)練���,是反匯編工作必備的調(diào)試工具。本站提供ollydbg(od反匯編工具)官方下載��!
ollydbg(od反匯編工具)功能介紹
啟動(dòng)
您可以采用命令行的形式指定可執(zhí)行文件�����、也可以從菜單中選擇,或直接拖放到OllyDbg中���,或者重新啟動(dòng)上一個(gè)被調(diào)試程序�����,或是掛接[Attach]一個(gè)正在運(yùn)行的程序����。OllyDbg支持即時(shí)調(diào)試���,根本不需要安裝����,可直接在軟盤(pán)中運(yùn)行�����!
線(xiàn)程
ollydbg(od反匯編工具)可以調(diào)試多線(xiàn)程程序����。因此您可以在多個(gè)線(xiàn)程之間轉(zhuǎn)換��,掛起、恢復(fù)���、終止線(xiàn)程或是改變線(xiàn)程優(yōu)先級(jí)����。并且線(xiàn)程窗口將會(huì)顯示每個(gè)線(xiàn)程的錯(cuò)誤(就像調(diào)用 GETLASTERROR 返回一樣)���。
調(diào)試DLLs
您可以利用OllyDbg調(diào)試標(biāo)準(zhǔn)動(dòng)態(tài)鏈接庫(kù)(DLLs)����。OllyDbg 會(huì)自動(dòng)運(yùn)行一個(gè)可執(zhí)行程序���。這個(gè)程序會(huì)加載鏈接庫(kù)�,并允許您調(diào)用鏈接庫(kù)的輸出函數(shù)�����。
源碼級(jí)調(diào)試
ollydbg(od反匯編工具)可以識(shí)別所有 Borland 和 Microsoft 格式的調(diào)試信息����。這些信息包括源代碼、函數(shù)名�、標(biāo)簽�����、全局變量�����、靜態(tài)變量����。有限度的支持動(dòng)態(tài)(棧)變量和結(jié)構(gòu)�����。
代碼高亮
ollydbg(od反匯編工具)的反匯編器可以高亮不同類(lèi)型的指令(如:跳轉(zhuǎn)��、條件跳轉(zhuǎn)�、入棧、出棧�、調(diào)用�、返回、特殊的或是無(wú)效的指令)和不同的操作數(shù)(常規(guī)[general]�����、FPU/SSE、段/系統(tǒng)寄存器���、在��;騼(nèi)存中的操作數(shù)��,常量)�。您可以定制個(gè)性化高亮方案����。
名稱(chēng)
ollydbg(od反匯編工具)可以根據(jù) Borland 和 Microsoft 格式的調(diào)試信息,顯示輸入/輸出符號(hào)及名稱(chēng)����。Object 掃描器可以識(shí)別庫(kù)函數(shù)。其中的名稱(chēng)和注釋您可任意添加���。如果DLL中的某些函數(shù)是通過(guò)索引號(hào)輸出的��,則您可通過(guò)掛接輸入庫(kù)[import library]來(lái)恢復(fù)原來(lái)的函數(shù)名稱(chēng)�。不僅如此�,OllyDbg還能識(shí)別大量的常量符號(hào)名(如:窗口消息、錯(cuò)誤代碼、位域[bit fields]…)并能夠解碼為已知的函數(shù)調(diào)用�����。
已知函數(shù)
ollydbg(od反匯編工具)可以識(shí)別 2300 多個(gè)C 和Windows API 中的常用函數(shù)及其使用的參數(shù)�����。您可以添加描述信息����、預(yù)定義解碼。您還可以在已知函數(shù)設(shè)定 Log斷點(diǎn)并可以對(duì)參數(shù)進(jìn)行記錄�。
函數(shù)調(diào)用
ollydbg(od反匯編工具)可以在沒(méi)有調(diào)試信息或函數(shù)過(guò)程使用非標(biāo)準(zhǔn)的開(kāi)始部分[prolog]和結(jié)尾部分[epilog]的情況下,對(duì)遞歸調(diào)用進(jìn)行回溯���。
配置
有多達(dá)百余個(gè)選項(xiàng)用來(lái)設(shè)置OllyDbg 的外觀和運(yùn)行�。
數(shù)據(jù)格式:OllyDbg 的數(shù)據(jù)窗口能夠顯示的所有數(shù)據(jù)格式:HEX����、ASCⅡ、UNICODE��、 16/32位有/無(wú)符號(hào)/HEX整數(shù)�����、32/64/80位浮點(diǎn)數(shù)�、地址、反匯編(MASM��、IDEAL或是HLA)�、PE文件頭或線(xiàn)程數(shù)據(jù)塊。
運(yùn)行環(huán)境
ollydbg(od反匯編工具)可以以在任何采用奔騰處理器的 Windows 95�、98、ME����、NT 或是 XP(未經(jīng)完全測(cè)試)操作系統(tǒng)中工作,但我們強(qiáng)烈建議您采用300-MHz以上的奔騰處理器以達(dá)到更好效果����。還有,OllyDbg 是極占內(nèi)存的����,因此如果您需要使用諸如追蹤調(diào)試[Trace]之類(lèi)的擴(kuò)展功能話(huà),建議您使用128MB以上的內(nèi)存�。
支持的處理器
ollydbg(od反匯編工具)支持所有 80x86、奔騰�、MMX���、3DNOW!����、Athlon擴(kuò)展指令集、SSE指令集以及相關(guān)的數(shù)據(jù)格式��,但是不支持SSE2指令集���。
ollydbg(od反匯編工具)安裝說(shuō)明
ollydbg(od反匯編工具)是綠色免安裝����,可直接雙擊打開(kāi)����。
ollydbg(od反匯編工具)使用方法
OD界面-無(wú)論當(dāng)前的OllyDbg窗口是什么,這些快捷鍵均有效:
Ctrl+F2 - 重啟程序���,即重新啟動(dòng)被調(diào)試程序���。如果當(dāng)前沒(méi)有調(diào)試的程序,OllyDbg會(huì)運(yùn)行歷史列表[historylist]中的第一個(gè)程序���。程序重啟后�,將會(huì)刪除所有內(nèi)存斷點(diǎn)和硬件斷點(diǎn)。
譯者注:從實(shí)際使用效果看��,硬件斷點(diǎn)在程序重啟后并沒(méi)有移除����。
F3 - 彈出“打開(kāi)32位.EXE文件”對(duì)話(huà)框[Open 32-bit .EXE file]�����,您可以選擇可執(zhí)行文件����,并可以輸入運(yùn)行參數(shù)。
F7 -單步步入到下一條命令��,如果當(dāng)前命令是一個(gè)函數(shù)[Call]�,則會(huì)停在這個(gè)函數(shù)體的第一條命令上。如果當(dāng)前命令是是含有REP前綴����,則只執(zhí)行一次重復(fù)操作。
F8 -單步步過(guò)到下一條命令��。如果當(dāng)前命令是一個(gè)函數(shù),則一次執(zhí)行完這個(gè)函數(shù)(除非這個(gè)函數(shù)內(nèi)部包含斷點(diǎn)���,或發(fā)生了異常)����。如果當(dāng)前命令是含有REP前綴���,則會(huì)執(zhí)行完重復(fù)操作���,并停在下一條命令上。
F9 - 讓程序繼續(xù)執(zhí)行��。
Ctrl+F11-Run跟蹤步入���,一條一條執(zhí)行命令�����,進(jìn)入每個(gè)子函數(shù)調(diào)用���,并把寄存器的信息加入到Run跟蹤的存儲(chǔ)數(shù)據(jù)中。Run跟蹤不會(huì)同步更新CPU窗口����。
F12 - 停止程序執(zhí)行�����,同時(shí)暫停被調(diào)試程序的所有線(xiàn)程���。請(qǐng)不要手動(dòng)恢復(fù)線(xiàn)程運(yùn)行�,使用繼續(xù)執(zhí)行快捷鍵或菜單選項(xiàng)(像 F9)。
Alt+B - 顯示斷點(diǎn)窗口����。在這個(gè)窗口中,您可以編輯����、刪除、或跟進(jìn)到斷點(diǎn)處���。
Alt+C - 顯示CPU窗口�。
Alt+E - 顯示模塊列表[list of modules]����。
Alt+K - 顯示調(diào)用棧[Call stack]窗口�。
Alt+L - 顯示日志窗口�����。
Alt+M - 顯示內(nèi)存窗口���。
Alt+O - 顯示選項(xiàng)對(duì)話(huà)框[Options dialog]
Ctrl+P - 顯示補(bǔ)丁窗口��。
Ctrl+T - 打開(kāi) 暫停 Run跟蹤 對(duì)話(huà)框
Alt+X - 關(guān)閉 OllyDbg����。
ollydbg(od反匯編工具)界面使用介紹
1���、反匯編窗口
ollydbg(od反匯編工具)在這里顯示反匯編代碼�����,我們將要以O(shè)llyDbg的默認(rèn)配置調(diào)試分析你打開(kāi)的程序����。 調(diào)試選項(xiàng)可以在Options->Debugging options里更改���。
2�����、寄存器
第二個(gè)重要的窗口——寄存器窗口������?匆幌逻@個(gè)在OllyDbg最右邊的窗口,它出現(xiàn)了很多信息��。
3����、堆棧窗口
默認(rèn)情況下�����,它顯示ESP寄存器指向的信息(也是最重要的)����,但是你可以改變它的顯示模式來(lái)顯示來(lái)自涉及EBP的信息。這需要在這個(gè)窗口上點(diǎn)擊右鍵�,選擇GO to EBP。再次點(diǎn)擊右鍵選擇Go to ESP,回到先前窗口�����。
4��、數(shù)據(jù)窗口(dump)
默認(rèn)的模式是最常用的����,我們還可以改變它以顯示反匯編代碼(Disassemble),文本(Text)和其它格式(Short��,Long����,F(xiàn)loat)。現(xiàn)在我們了解了OllyDbg的最主要的四個(gè)窗口��。還有一些窗口沒(méi)有直接顯示��,可以通過(guò)菜單或控制面板上的圖標(biāo)按鈕訪(fǎng)問(wèn)����。
ollydbg(od反匯編工具)常見(jiàn)問(wèn)題
怎樣保存ollydbg的調(diào)試信息以便下次使用?
調(diào)試菜單->;選擇符號(hào)路徑 然后在彈出的對(duì)話(huà)框設(shè)置路徑即可���。注意調(diào)試文件為udd格式�,當(dāng)被調(diào)試文件路徑發(fā)生變化時(shí)調(diào)試信息不再可用。比如:你在C盤(pán)有一個(gè)文件用ollydby調(diào)試并加入注視或斷點(diǎn)后����,把這個(gè)文件移到別的路徑下,再用ollydbg打開(kāi)調(diào)試信息注視和斷點(diǎn)不被顯示����。
注意:斷點(diǎn)和注釋窗口只能查看到當(dāng)前模塊的斷點(diǎn)和注釋?zhuān)耶?dāng)前被ollydbg分析為代碼的斷點(diǎn)和注釋才能被看到。
ollydbg(od反匯編工具)更新日志
1�����、界面采用 BoOMBoX/TSRh2004 制作的美化界面���,主要為了好看一點(diǎn)。
2�����、絕大部分句子都重新翻譯過(guò)����,力求做到準(zhǔn)確。
3、配置文件中除字體��、語(yǔ)法高亮���、顏色這幾個(gè)部分保留為中文外��,其它的都恢復(fù)為英文��。保留字體��、語(yǔ)法高亮���、顏色這幾個(gè)部分為中文。
4�、配置文件中的字體、語(yǔ)法高亮����、顏色這幾個(gè)部分恢復(fù)為英文,做了個(gè)恢復(fù)為英文配置的補(bǔ)丁放在英文配置補(bǔ)丁目錄下��,需要字體����、語(yǔ)法高亮�����、顏色這部分也用英文配置的朋友可以把這個(gè)補(bǔ)丁放到安裝目錄�����,選擇 Ollydbg.exe 補(bǔ)丁就可以了�。
使用編程語(yǔ)言寫(xiě)的程序�,由于每條指令都對(duì)應(yīng)計(jì)算機(jī)一個(gè)特定的基本動(dòng)作,所以程序占用內(nèi)存少���、執(zhí)行效率高��。
