045740_OD(OllyDbg)使用教程.ppt

* 工具介绍 OllyDbg调试器 什么是OllyDbg? OllyDbg简称OD，是一款具有可视化界面的用户模式调试器，结合了动态调试和静态分析，具有强大的反汇编引擎，能够识别数千个被C和Windows所使用的函数，并能将其参数注释出，能自动分析函数过程、循环语句、代码中的字符串等。 显示被调试程序的反汇编代码 显示当前所选线程的?CPU?寄存器内容。 显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等 显示内存或文件的内容。 显示当前线程的堆栈 反汇编窗口的列中，双击的效果: 地址列：显示相对被单击地址的地址，再次 双击返回到标准地址模式； Hex数据列：设置或取消无条件断点，对应的快捷键是F2键； 反汇编列：调用汇编器，可直接修改汇编代码； 注释列：允许增加或编辑注释，对应快捷键是“；“键 调试中我们经常要用到的快捷键有这些：F2：设置断点，只要在光标定位的位置（上图中灰色条）按F2键即可，再按一次F2键则会删除断点F8：单步步过。每按一次这个键执行一条反汇编窗口中的一条指令，遇到?CALL?等子程序不进入其代码F7：单步步入。功能同单步步过(F8)类似，区别是遇到?CALL?等子程序时会进入其中，进入后首先会停留在子程序的第一条指令上 F4：运行到选定位置。作用就是直接运行到光标所在位置处暂停 F9：运行。按下这个键如果没有设置相应断点的话，被调试的程序将直接开始运行CTR+F9：执行到返回。此命令在执行到一个?ret?(返回指令)指令时暂停，常用于从系统领空返回到我们调试的程序领空 ALT+F9：执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空 如何加载程序？ 点击菜单?文件-打开?（快捷键是?F3）来打开一个可执行文件进行调试 点击菜单?文件-附加?来附加一个已运行的进程上进行调试。注意这里要附加的程序必须已运行。 基本操作： 1、准备工作 我们以Traceme这个软件为例，了解Traceme序列号的验证流程 2、加载目标文件调试 运行OllyDbg后，打开选项/调试设置 程序运行之后，在系统空间里会触发一个INT3 文件入口点 程序的Winmain（）函数入口点，但一般都是在文件入口点 设置完成之后，载入文件，出现如图所示： 虚拟地址 机器码： CPU执行的机器代码 汇编指令： 和机器码对应的程序代码 3、单步跟踪 调试器一个最基本功能就是动态跟踪，OllyDbg单步跟踪功能键： F7与F8的区别：在遇到CALL时，F8会直接跳过，而F7就跟进去 4、设置断点 断点是调试器的一个重要功能，它能使程序中断在需要的地方，从而方便对其分析，常用的断点是INT3，其原理是OllyDbg将断点处的代码设置为int3指令。 方法：将光标移动到要设断点的行，按F2键就可以设置 了，也可以双击Hex数据列 目的：可以让软件运行的时候停在设断点的地方，以方便反复跟踪调试 当关闭程序时，OllyDbg会将设置好的断点保存在UDD文件中，下次运行时还有效。 5、调试分析： 调试分析其实就是分析程序代码的意义，如图： 阅读这些代码时，首先要搞清楚各API函数的定义，还弄明白那些汇编程序代码的具体含义 6、保存修改后的文件 图中红色的就是我们修改的地方，然后就点右键，复制到文件，就可以保存当前的修改 我们现在来举个简答你的例子 破解TraceMe的注册码 操作步骤如图： 首先当然要载入TraceMe，载入之后就会出现如下窗口 文件入口点 然后我们要找到GetDlgItemTextA函数，因为程序从文本框中将内容读取出来，需要用到这个函数。我们就用Ctrl+G打开跟随表达式的窗口，在里面输入函数名就可以跟踪到函数名存在的地方 *