① 怎麼學習ollydbg原理是什麼基本使用方法是什麼
最簡單的方法是啟動OllyDbg,點擊File|Open,然後選擇你想調試的程序。程序需要命令行參數輸入對話框下方的文本欄。
重新開始調試最後一個程序的快捷鍵是Ctrl+F2,並且OllyDbg使用相同的參數。
你也可以點選歷史記錄。把程序拖入OllyDbg也可以開始調試。
當然,當啟動OllyDbg時,你在命令行中也能指定被調試的程序名和參數。比如:
你可以創建桌面快捷方式指向OllyDbg,選擇屬性,到快捷方式,把程序名加入目
標欄。每次你雙擊這個快捷圖標,OllyDbg自動裝載被調試程序。
你可以attach OllyDbg到某個正在運行的進程。點擊File|Attach,從列表中選擇
該進程。注意:當你關閉OllyDbg,這個進程也會終止。不要試圖attach系統進程
,這很可能使系統完全死機。(事實上,大多數情況下,OS不允許attach敏感進
程)
OllyDbg能作為just-in-time debugger。這需要在注冊表中登記。點擊
Options|Just-in-time debugging,在對話框中按「Make OllyDbg just-in-time
debugger」。現在,當一些程序崩潰,你會被詢問是否調試它。這樣,操作系統
可以啟動OllyDbg並直接停在異常發生處。如果你選擇attaching without
confirmation,OllyDbg不會詢問直接啟動。要恢復原來的just-in-time
debugger,在出現的對話框中按相應的按紐就行了。
其它方法還有,把OllyDbg加入可執行文件的彈出式菜單。點擊Options|Add to
Explorer,按「Add OllyDbg to menu in Windows Explorer」。以後你可以右擊
可執行文件點選OllyDbg。這個選項創建注冊表鍵
HKEY_CLASSES_ROOT/exefile/shell/Open with OllyDbg and
HKEY_CLASSES_ROOT/exefile/shell/Open with OllyDbg/command
OllyDbg可以調試控制台(基於文本)程序。
注意:WindowsNT或Windows2000下,你必須有管理員許可權
OllyDbg的help-通用快捷鍵(翻譯)
Golbal shortcuts(通用快捷鍵)
這些快捷鍵在OllyDbg中通用,不依賴於當前活動窗口。
Ctrl+F2---OllyDbg重置,重新開始調試。如果沒有活動程序,OllyDbg裝入歷史列表中的第一個程序。OllyDbg重置會釋放內存移除硬斷點。
Alt+F2--關閉被調試的程序。如果程序還在活動狀態,你會被詢問是否執行該操作。
F3--顯示「Open 32-bit .exe file」對話框,這里可以選擇可執行文件和指定參數
Alt+F5--使OllyDbg顯示在屏幕最前方。如果被調試程序中斷時顯示窗口遮住OllyDbg的一些區域,不繼續運行又不能移動或最小化它。激活OllyDbg按Alt+F5可以解決。如果你再次按Alt+F5,OllyDbg會恢復為普通窗口。OllyDbg的當前狀態顯示在狀態欄。
F7--step into,執行下一條簡單命令。如果該命令是一個函數調用,進入調用函數內部。如果命令有REP前綴,執行該命令的一步操作。
Shift+F7--與F7相同,除了當被調試程序遇到某些異常時,首先嘗試調用程序自己的異常處理過程。
Ctrl+F7--animate into,一步一步執行程序,也進入函數調用(就象你一直按著F7,不過更快)。當你執行一些單步或繼續命令,程序到達有效斷點,一些異常發生時,Animation終止。每步執行,OllyDbg重畫所有窗口。要加速animation,關閉所有窗口而不要只改變現有窗口的大小。終止animation,也可按Esc。
F8-step over,執行下一條簡單命令。如果該命令是一個函數調用,立刻執行完該函數(除非函數內部有斷點或產生異常)如果命令有REP前綴,執行所有重復操作,並停於下一條命令。
Shift+F8--與F8相同,除了當被調試程序遇到某些異常時,首先嘗試調用程序自己的異常處理過程。
Ctrl+F8--animate over,一步一步執行程序,但不進入函數調用(就象你一直按著F8,不過更快)。當你執行一些單步或繼續命令,程序Animation到達有效斷點或異常發生時,Animation終止。每步執行,OllyDbg重畫所有窗口。要加速animation,關閉所有窗口而不要只改變現有窗口的大小。終止animation也可按Esc。
F9--繼續執行程序。
Shift+F9--與F9相同。除了當被調試程序遇到某些異常時,首先嘗試調用程序自己的異常處理過程。
Ctrl+F11--run trace into,一步一步執行程序,要進入函數調用,記錄寄存器內容。Run trace 不重繪CPU窗口.
F12-懸掛所有線程以停止程序執行。最好用繼續鍵和菜單命令(像F9)恢復執行線程,而不要用其它手動方法恢復。
Ctrl+F12--run trace over,一步一步執行程序,不進入函數調用,記錄寄存器內容。Run trace不重繪CPU窗口。
ESC--如果animation或跟蹤正在進行,將被終止。如果CPU窗口顯示跟蹤時的數據,此時轉為顯示實際數據。
Alt+B--打開或恢復Breakpoint窗口。這里可以編輯,刪除和觀察斷點。
Alt+C--打開或恢復CPU窗口。
Alt+E--打開或恢復模塊列表
Alt+E--打開或恢復Call stack窗口。
Alt+L--打開或恢復Log窗口。
Alt+M--打開或恢復Memory窗口。
Alt+O--打開Option對話框
Ctrl+P--打開Patch窗口。
Ctrl+T--打開Pause run trace對話框
Alt+X-中斷OllyDbg。
多數窗口可以使用下列快捷鍵:
Alt+F3--關閉活動窗口。
Ctrl+F4--關閉活動窗口。
F5--最大化或恢復活動窗口。
F6--激活下一個窗口。
Shift+F6--激活前一個窗口。
F10--打開激活窗口或面板的右鍵菜單。
LeftArrow--左移一個字元。
Ctrl+LeftArrow--左移一行。
RightArrow--右移一個字元。
Ctrl+RightArrow--右移一行。
OllyDbg的help-分析模塊介紹(翻譯)
分析
OllyDbg集成了快速超強的代碼分析器。裝載它,可以用彈出式菜單或者CPU窗口
的反匯編欄按Ctrl+A或者在執行模塊選「Analyze all moles」。
分析器非常有用。它在數據中分辨代碼,標記入口點和jump的目標,辨認switch
tables,ASCII和UNICODE字元串,定位過程、循環、高級switch語句和解碼標准
API函數參數(看範例)。OllyDbg的其它部分也廣泛用於數據分析。
這怎麼可能呢?我稍微介紹一下原理。首先,OllyDbg反匯編代碼區所有可能的地
址,記下所有發現的調用及指向的目標。當然,許多這樣的調用不正確,但是未
必會有兩個錯誤的調用指向同一條命令,並且三個或三個以上更不可能。這樣,
三個或更多調用指向同一地址,我就確信該地址是經常使用的子過程入口。從這
個入口開始,我跟蹤所有的跳轉和調用,反復操作。這種方法使我99.9%確定所
有命令。然而,某些位元組不在這條鏈中,我採用大約20個更高效的方法(最簡單
的如:「MOV [RA],Ra"是無效命令).
過程檢測也簡單。過程,從分析器的角度看,就是從入口開始的代碼的連續區域
,(理論上)可以到達其它命令(除NOP或對齊填充外)。你可以指定三種識別級
。Strict級嚴格確認一個入口和至少一個出口。heuristical級,分析器嘗試確認
入口。如果你選擇fuzzy級,或多或少相容的代碼區被分離為過程。現代編譯器把
過程分成幾個部分作公用代碼優化。這種情況下,fuzzy級特別有用!然而,誤解
的概率也相當高。
類似的,loop是一個封閉的連續命令序列,這里最後的命令跳到開頭、一個入口
幾個出口。Loop相當於高級操作語言中的do,while和for。OllyDbg能認識任何復
雜的嵌套循環。在反匯編區,他們用長長的大括弧標記。如果入口不是循環的第
一條命令,OllyDbg用個小三角形作標記。
實現switch語句,多數編譯器把switch變數裝入寄存器,然後減去一部分,像下
面代碼序列一樣:
MOV EDX,<switch variable>
SUB EDX,100
JB DEFAULTCASE
JE CASE100 ; Case 100
DEC EDX
JNE DEFAULTCASE
... ; Case 101
這些序列也可能包含一級或兩級switch表,直接比較,優化,填充等等。如果你
深入研究比較和跳轉樹,很難說哪一條命令是某個case語句。OllyDbg為你代勞。
它標記所有的case語句,包括default,甚至嘗試猜測case的意思,如'A',
WM_PAINT 或者 EXCEPTION_ACCESS_VIOLATION。如果命令序列不修改寄存器(只
由比較命令構成),那麼不大可能是switch語句,但可能是if嵌套:
if (i==0) {...}
else if (i==5) {...}
else if (i==10) {...}
讓OllyDbg解碼if嵌套為switch,選擇Analysis1中相應的選項。
OllyDbg預置超過1900個常用API函數的描述。包括KERNEL32, GDI32, USER32,
ADVAPI32, COMDLG32, SHELL32, VERSION, SHLWAPI, COMCTL32, WINSOCK,
WS2_32 和 MSVCRT。你也可以加入自己的描述。如果分析器遇到已知函數名的調
用(或跳轉到該函數),它嘗試解碼調用跟前的PUSH命令。因此,你可以粗略翻
譯該調用的功能。OllyDbg也內置大約400個標准C函數的描述。如果你利用新庫,
我建議你分析前先掃描對象文件。這種情況下,OllyDbg也會解碼已知的C函數參
數。
如果選項「Guess number of arguments of unknown functions」被設置,分析
器嘗試確認調用過程進棧的雙字數目,並標記他們為參數Arg1,Arg2等等。注意:
如果有寄存器參數,OllyDbg還是不認識也不包括在上面的統計中。分析器採用了
一個安全的方法。例如,它不分辨無參數過程和返回前用POP恢復寄存器代替舍棄
參數的case語句。然而,能分辨出的函數數目相當多,並非常有助於提高代碼的
可讀性。
分析器能跟蹤寄存器的值。現代優化編譯器,特別是面向Pentium的,經常把常量
和地址裝入寄存器便於重復使用或減小內存佔用空間。如果一些常量裝入寄存器
,分析器會注意它,並用於解碼函數及其參數。還能執行簡單的算術計算跟蹤
push和pop命令。
分析器不能區別不同類型的名字。如果你用已有的名字命名一些函數,OllyDbg會
解碼所有該地址的調用為原過程。WinMain,DllEntryPoint和WinProc是特殊的預
定義名。你可以使用這些標號標記主程序入口,DLL入口指針和window過程(注意
:OllyDbg不會檢查用戶定義標號的唯一性)。當然,最好的方法是顯示已定義的
參數。
非常不幸,沒有一般的規則用於100%的准確分析。有些情況下,例如當模塊包含
p-代碼或者代碼區嵌入大量數據,分析器可能認為部分數據是代碼。如果統計分
析顯示代碼可能被打包或加密,分析器會警告你。如果你想用hit跟蹤方式,我建
議你不要用fuzzy分析方式,否則斷點被設置在被誤認為代碼的數據上的幾率很高。
自解壓文件通常在主體代碼外有解壓代碼。如果你選擇SFX選項「Extend code
section to include self-extractor」,OllyDbg會擴大代碼區,形式上允許分
析它並跟蹤。
OllDbg的一般原理(翻譯)部分
我希望你熟悉80x86兼容CPU的內部結構,並且有匯編寫程序的經歷。我也希望你
熟悉Microsoft Windows.
OllyDbg是一個單進程多線程的「機器代碼級」debugger,用於Windows環境下的32位程序。它允許你debug和patch PE格式的可執行程序。OllDbg僅僅使用列入文檔的Win32 API調用,所以可用於下一代32位Windows系統。OllDbg看來也可工作於Windows XP,但是我沒有詳盡的測試,因此不能保證功能完整。
OllyDbg不是面向編譯器。它不含特別的規則顯示某些情況下特定的編譯程序生成哪些代碼序列。因此,你可以一樣對待任何編譯器編譯的,或者匯編書寫的任何代碼。
OllyDbg與被調試的程序同時工作。你可以瀏覽代碼和數據、設置斷點、停止或繼續線程,甚至運行期修改內存(有時這叫作軟調試方式)。當然,如果被請求的操作不是最基本的,OllyDbg就會短時暫停程序,但這對用戶透明。有時不在調試狀態運行的程序會意外崩潰。OllyDbg,這個「及時」debugger,會指出異常發生的位置。
OllyDbg強烈面向模塊。模塊這里指啟動時載入的或動態載入的主執行文件或動態連接庫。在調試區,你可以設置斷點,定義新標號和注釋匯編語句。當一些模塊從內存卸載後,OllyDbg保存這些信息到擴展名為.UDD名字同被調試模塊的文件中。下次當裝載這些模塊時,OllyDbg自動復原所有調試信息,不論程序是否使用這些模塊。比如:你調試使用Mydll的程序Myprog1,並且在Mydll中設置一些斷點。那麼當你調試Myprog2時,也使用Mydll,你會發現所有在Mydll中的斷點還在那裡,不管Mydll是否裝載在不同的位置。
一些調試器把被調試進程的內存視為單個2**32位元組區域。OllyDbg做了別的處理方法。內存由幾個獨立的塊組成。任何內存操作都限制於塊內。在大多數案例中,這工作優良並且容易調試。但是模塊包含幾個執行部分等等,你將不能立刻看到整個代碼。然而這些例外不常見。
OllyDbg是內存消耗大戶。啟動時就要分配3MB內存,甚至更多。每次分析,備份,跟蹤或文件轉儲另外再分配。所以當你調試大工程時消耗40或60M內存很正常。
要有效的調試一些無源代碼的程序,你首先必須理解它是如何工作的。OllyDbg提供了大量的手段使理解更容易