Ollydbg基础使用方法

Posted on 2022-03-09  46 Views


这是一款功能非常强大的调试软件,用于动态分析。他的反汇编引擎也非常强大,能够识别数千个频繁被c和windows调用的函数,并给出对应注释,此外他还拥有良好的生态,有很多爱好者为其编写了大量的插件,在吾爱论坛可以找到一个集成的版本。

ollydbg(后文简称od)启动后会显示多个窗口,可以点击工具栏上的按钮进行快速切换。

快捷按钮

想要知道具体每个按钮对应的窗口可以将鼠标移动到对应按钮上,然后查看od界面左下角的提示信息。

他最重要的主窗口分为如下几个部分

od界面

在反汇编窗口部分的每一列双击鼠标都有默认预设的功能,比如在地址窗口双击会显示该汇编指令与相邻各行指令的相对地址,再双击可以返回标准地址模式,而在反汇编窗口双击可以直接修改选中的汇编代码。

在加载程序调试开始后,在各个窗口会显示对应的信息,加载程序可以将程序直接拖拽至od的图标上,也可以在打开od后点击左上角 -> 文件 -> 打开 然后选择一个可执行文件进行调试,当然也可以直接使用快捷键F3打开。需要特别说明的是,使用od调试的时候程序相当于在运行,如果调试的程序有危害性请在确保安全的条件下进行。

为了让od中断在程序的入口点,在加载程序前必须进行相应的设置,在菜单栏中 -> 选项 -> 调试设置 -> 事件处进行设置,一般只需要将断点设置在winmain处。

开始调试程序后,按快捷键F8,进行一次单步步过,遇到call指令会路过而不跟进。F7进行一次单步步进,遇到call指令会跟进,F4直接将直接运行至光标处。同时od还支持输入地址快速定位数据,按Ctrl+G,输入一个十六进制地址或标号,会在反汇编窗口中定位到指定位置。
当执行至某个call指令中,想要返回调用这个call指令的位置时,可以按Ctrl+F9快捷键快速执行至最近的一个返回指令处。
如果执行至系统DLL提供的API函数,想要返回应用程序时,可以按快捷键Alt + F9(执行到用户代码指令)
当程序陷入死循环时,可以按F12暂停程序。

更多详细的od快捷键可以参考这篇文章

https://www.52pojie.cn/thread-1544003-1-1.html


欢迎来到parafish的个人博客,这里是一个正在努力的ctfer

路虽远,行则必至