OllyDbg使用笔记

时间:2024-04-13 07:46:16

OD步过后,返回到之前某位置,重新单步执行

找到你想返回的行,

右键选择New origin here,快捷键Ctrl+Gray *,

然后程序会返回到这一行,再次按F7或者F8等执行即可

OllyDbg使用笔记

77C3078F再次执行

定位代码,逐行执行

对于代码量较小的程序,这种方式也是可以接受的。

方法就是一直F7配合F8等,直到调用我们想要的功能,

CALL调用的这个函数就是我们要定位的函数了。

定位代码,快速搜索

OD加载待调试程序时,会预分析过程。

此过程会查看进程内存,程序中引用的字符串和API会被摘录出来。

也可以利用这个特点快速定位。

过程如下:

1.首先用OD打开待调试的程序

2.右键, Search for, All referenced text strings

这时候会打开R窗口,显示搜索的结果,

3.R窗口中查询你要查询的字符串

右键Search for text,输入你要查询的字符串

找到你要查找的字符串,比如Hello World!

OllyDbg使用笔记

4.双击,定位到函数

OllyDbg使用笔记

5.Dump窗口查看数据

点击下方Dump查看内存窗口,

快捷键Ctrl+G,或者

右键Go to, Expression

输入Hello World!地址00A42108

OllyDbg使用笔记

定位代码,API检索定位,在调用代码中定位

同样利用OD预分析加载的特性,通过API实现代码定位。

用OD打开待调试的程序,然后,

右键,Search for, All intermodular calls,

查询结果会显示在R窗口,

你可以对API列表排序,Sort by, Destination

然后,找到你认为是目标的那个API函数,双击,

比如,我这里就打印了一个字符串Hello World!,API函数用的MessageBox,我就找到这个API双击

然后,OD会定位到目标函数内部,看看是不是你要找的那个。

OllyDbg使用笔记

OllyDbg使用笔记

同样的可以在Dump窗口查看内存。

定位代码,API检索定位,API代码中定位

有时候发布的程序代码会被压缩或者保护起来,这样OD的预分析加载就废掉了,上面的方式就不能使用了。

这时候,我们需要通过对程序加载的DLL进行分析,在DLL中筛选合适的目标API,进API中下断点,然后调试。

比如还是用MessagexBox这个API打印Hello World!字符串,我们假设程序被压缩或者保护了。

分析下目标特征,弹窗打印了一个字符串,那这个应该是使用的MessagexBox这个函数,这个API所在的DLL

USER32.DLL,那我们就从USER32.DLL下手。

打开内存映射窗口,菜单栏,View, Memory 或者快捷键 Alt+M

找到USER32.DLL,确认被加载到了内存,

OllyDbg使用笔记

列出所有模块中的API,点击C窗口,右键,Search for, Name in all modules,结果会显示在N窗口,

OllyDbg使用笔记

可以点击Name按名字排序,键盘直接输入要查询的API名字,就会自动定位,

上图中显示出了含有MessageBox字符的所有DLL,这里我们只关心USER32.DLL

双击MessageBoxW(UNICODE版),跳转到函数实现代码,F2下断点,F9继续执行代码。

OllyDbg使用笔记

程序暂停到了API断点处,F8单步步过执行代码,成功打印显示窗口。

左下角寄存器ESP的值就是调用该函数的进程栈地址,这里我忘记记录了,重新模拟一遍,仅作验证。 OllyDbg使用笔记

00A41014是返回地址,也就是CALL调用MessageBox后,下一条要执行的指令所在地址,那CALL调用就是上一条真正调用MessageBox的地址。

跟踪查看地址,Ctrl+G OllyDbg使用笔记

红色表示过程调用地址,绿色表示过程返回地址。 OllyDbg使用笔记