OllyDebug工具的使用.pdf

OllyDebug 工具的使用 【摘要】OLLYDBG 是一个新的动态追踪工具，将IDA 与SoftICE 结合起来的思 想，Ring 3 级调试器，非常容易上手，己代替SoftICE 成为当今最为流行的调试 解密工具了。同时还支持插件扩展功能，是目前最强大的调试工具。 【关键词】OLLYDBG 反汇编 调试专用工具 一、OllyDBG 的安装 OllyDBG 2.01b 版的发布版本是个 ZIP 压缩包，只要解压到一个目录下，运行其中 的OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包，同样只需解压到一个 目录下运行OllyDBG.exe 即可 （如图1-1）。 在其文件夹中：  Plugin 目录为OllyDebug 软件的插件的存放文档。  UDD 目录的作用是保存你调试的工作。比如你调试一个软件，设置了断点，添加 了注释，一次没做完，这时OllyDBG 就会把你所做的工作保存到这个 UDD 目录，以 便你下次调试时可以继续以前的工作。如果不设置这个 UDD 目录，OllyDBG 默认是 在其安装目录下保存这些后缀名为 udd 的文件，时间长了就会显的很乱，所以还是建 议专门设置一个目录来保存这些文件。 图1-1 （注：对于初学者本软件不需用额外进行设置，全部使用默认设置即可。） 二、OllyDBG 的操作界面 OllyDBG 的操作界面主要如图 1-2 所示。 1 2 3 4 图1-2 整个操作界面分成四大部分： 1. 反汇编窗口：显示被调试程序的反汇编代码，具体的有： 地址：本条汇编代码的内存地址。 HEX 数据：Intel HEX 文件是记录文本行的ASCII 文本文件，由十六进制数组成的 机器码或者数据常量，Intel HEX 文件经常被用于将程序或数据传输存储 ROM、 EPROM，大多数编程器和模拟器使用Intel HEX 文件。 反汇编：由反汇编得到的代码。 注释 2. 寄存器窗口：显示当前所选线程的 CPU 寄存器内容，可以实时查看所有寄存器的 变化情况。 3. 内存数据窗口：显示内存或文件的内容，并且可以用快捷键Ctrl+G 方便的查看和 修改内存中的任意位置的数据，就像是一个小型的 “内存编辑器”。 4. 堆栈窗口：显示当前程序的堆栈情况。其中除了显示地址和内容外，还会在注释区 自动标注返回的地址等信息。 三、OllyDBG 的基本操作 快捷键 功 能 说 明 F8 单步执行 遇到函数调用指令不跟入 F7 单步执行 遇到函数调用指令跟入 F2 设置断点 在一条指令上按F2 即可变红，表示已经设置上断 点，双击HEX 数据同样可以设置断点。 F4 执行到当前光标所选 中的命令 F9 运行程序 运行程序知道遇到断点 Ctrl+G 查看任意位置数据 在指令、堆栈、内存数据区都可以使用，方便的查看 任意位置的指令和数据。 四、实例演示 （一）“1+1”程序的例子 1、首先，我