od查找命令

1. OD 查找命令怎麼查

je或jz // 相等則跳（機器碼是74或84）
jne或jnz // 不相等則跳（機器碼是75或85）
jmp // 無條件跳（機器碼是EB）
jb // 若小於則跳
ja // 若大於則跳
jg // 若大於則跳
jge // 若大於等於則跳
jl // 若小於則跳

2. od什麼意思，od命令

od有多個含義，具體如下：
1、OD：吸光度
OD是Optical Density的縮寫,表示光密度.OD是當光經過一個樣本時，部分光會被吸收。所以物理學或化學上,人們更喜歡用吸光度(Absorbance)表達現象.在光譜學，透光率是出射光和入射光強度的比。
2、OD：組織發展
組織發展(OD)是由於現代世界的科技、市場、環境等快速變遷,組織必須改變組織成員的認知、態度、價值觀及組織本身的結構的機構。以適應新挑戰,面向整個組織系統。其目的乃在維持與更新組織生命力。簡述組織發展體系,闡述其理論和應用及其發展趨勢。
3、OD：交通出行量
OD調查即交通起止點調查又稱OD交通量調查，OD交通量就是指起終點間的交通出行量。「O」來源於英文ORIGIN，指出行的出發地點，「D」來源於英文DESTINATION，指出行的目的地。
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17548.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17549.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17550.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17551.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17552.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17553.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17554.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17555.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17556.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17557.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17558.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17559.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17560.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17561.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17562.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17563.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17564.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17565.html"title="鄆城民耀"></a></li><li class="link-item">
<li>友情鏈接:</li> <li class="link-item"><a href="http://www.sdmynj.com/post/17566.html"title="鄆城民耀"></a></li><li class="link-item">
4、OD：軟體名稱
OD，是一個反匯編工具，又叫OllyDebug，一個新的動態追蹤工具，將IDA與SoftICE結合起來的思想，Ring 3 級的調試器，己代替SoftICE成為當今最為流行的調試解密工具了。
同時還支持插件擴展功能，是目前最強大的調試工具。基本上，調試自己的程序因為有源碼，一般用vc，破解別人的程序用OllyDebug。
5、OD：電腦命令
od 命令用途是以指定格式顯示文件。常見的文件為文本文件和二進制文件。此命令主要用來查看保存在二進制文件中的值。比如，程序可能輸出大量的數據記錄，每個數據是一個單精度浮點數。這些數據記錄存放在一個文件中，如果想查看下這個數據，這時候od命令就派上用場了。

3. OD 如何查找關鍵點

反復嘗試，每次在不同的地方設置斷點，從而確定哪段代碼是關鍵。
另外，針對某些特定類型，可以嘗試查找某個函數的調則薯雹用，例如讀寫注手汪冊表的函孫帆數，彈出對話框的函數，等等

4. 用od查找變數

這個是堆棧參迅含數，ebp一般指向瞎昌廳的是外層call的磨隱壓棧參數。這個應該比較好找。
方法么，選中右下角堆棧窗口，Ctrl+G ebp，回車，跳轉到當前ebp。然後在地址上回車顯示相對地址，自己到+8位置看就行了。看樣子應該是外層call的第二個壓棧參數。

5. 找出是什麼訪問了這個地址用od怎麼找

你可以使用Linux命令行調用「netstat」或「traceroute」來查看連接此地址的所有信息，例如IP地址、伺服器名稱等，根據這搏弊些信息咐銀薯可以判斷出訪問衡者該地址的是什麼。

6. 怎麼用OD查詢DLL命令

1.你雖只定義一派首個函數，但是你要運行程序還得載入很多dll文件才能運行啊，而這些dll 就含有很多API函數了 2.查看自定義函數，可使用源碼調試，方法自個網路；耐空也可自己製作符號表，藉助IDA的相關工具實現，還是自個網路…… 3.API 函塵畝數數監控程序，比如SoftSnoop…

7. OD如何查找標志位

ollydbg的界面: 菜單: 文件: 1.其中包括該菜單的下部有上次打開的紀錄,該紀錄保存有上次未清除的斷點. 2.附加.對付那些Anti-Debug程序.先運行程序,再運行od,文件-->附加.查看: 1.執行模塊(Alt+E),查看程序使用的動態鏈接庫 2.查看斷點.Alt+B 調試: 1.運行(F9)載入程序後,運行! 2.暫停(F12) 3.單步進入(F7)遇見CALL進入!進入該子程序. 4.單步跳過(F8)遇見CALL不進去! 5.執行到返回(ALT+F9)就是執行到該子程的返回語句 ollydbg的16進制編輯功能.類似與hiew,hex workshop 查看-->文件 二進制文件編輯功能.查看-->文件,打開的文件是二進制顯示.選中要改變的機器指令,空格,修改,右擊-->保存. ollydbg的四個區域 左上角是cpu窗口,分別是地址,機器碼,匯編代碼,注釋;注釋添加方便,而且還能即時顯示函數的調用結果,返回值. 右上角是寄存器窗口,但不僅僅反映寄存器的狀況,還有好多東東;雙擊即可改變Eflag的值,對於寄存器,指令執行後發生改變的寄存器會用紅色顯示. cpu窗口下面還有一個小窗口,顯示當前操作改變的寄存器狀態. 不錯; 左下角是內存窗口.可以ascii或者unicode兩種方式顯示內存信息; 右下角的是當前堆棧情況,還有注釋啊. F3選擇打開程序. 使用 F9執行程序. 下斷點: 1.對函數下下斷點 在代碼區右擊-->搜索-->當前模塊中的名稱(ctrl+N),在跳出來的對話框中選擇需要下的斷點函數.->右擊->查找導入參考(enter),按F2下斷點.如果有多個地方調用了該函數就這樣操作。 2.在需要的地方下斷點 F2 添加註釋: 在代碼區第四列,右擊-->注釋 查看內存地址 右擊內存地址列-->前往-->輸入要查看的內存地址 在函數lstrlen的注釋的上方,有一個變數string,當執行到該函數的時候,string後面會出現lstrlen函數的參數字元串.在實際使用中一般是輸入的字元串.(很好用哦) 類似的還有lstrcmp,上面有string1,string2能夠顯示將要比較的兩個字元串. 另外,一般在執行getwindowtext等函數後,右邊寄存器列,eax會顯示函數的返回值,即取到的內容.同時內存中也會有顯示. 在反匯編中選中一條命令，如果其中有用到內存中的地址,右擊-->在轉存中跟隨-->直接常數 此時內存地址會顯示指令中引用到的內存字元 拷貝功能十分強大.直接選擇要拷貝的內容.右擊-->復制-->文件or剪貼板 ollydbg的條件斷點可以按寄存器，存儲器，消息（必須是消息的數字，如wm_command就是111）等等設斷，非常強大，一旦設了之後記錄到文件中，下次restart程序還能用，不用拿筆記，很方便。 顯示跳轉路進: 選項-->調試設置-->cpu頁-->顯示跳轉的方向,顯示跳轉的路徑,如果跳轉沒有實現則顯示灰色路徑。在cpu窗口中,機器碼的前面顯示">"符號.同時,在cpu窗口下的小縫中會顯示跳轉路徑,從何跳轉而來.右擊-->前往...一般都是條件跳轉，上面的內容就是比較的地方啦。：） 跟蹤功能: 選項-->調試跟蹤-->跟蹤:設置運行跟蹤的緩存大小.越大越好. 調試-->打開或清除運行跟蹤 然後我們就可以用CTRL+F11或CTRL+F12開啟「跟蹤進入」和「 跟蹤跳過」了。當我們暫停程序的時候，可以用小鍵盤上的「+」，「-」，「*」來控制跟蹤功能了。 其中,「跟蹤進入」和運行類似，但是記錄所有指令以及寄存器變化。並且會自動進入所有的CALL中。 「 跟蹤跳過」和「跟蹤進入」類似，但是不進入CALL 「+」用來顯示跟蹤緩沖區中的下一條指令 「-」用來顯示跟蹤緩沖區中的上一條指令 「*」用來發返回當前指令 讓OD顯示MFC42.DLL中的函數 打開調試-->選擇導入庫-->添加-->選擇MFC43.LIB加入.重新載入MFC程序，就可以看到call後面的api函數了. 動態暫停以messagebox為例) 先運行目標程序,再運行od,選擇文件-->附加.在目標程序運行出現對話框時,切換至od,F12暫停. 字元串參考: 在匯編代碼區,右擊-->搜索-->字元參考 更改二進制文件: 方法1.查看-->文件,打開文件,找到欲修改的偏移,使用機器碼修改,然後右擊保存文件.缺點是需要使用其他軟體來獲取偏移地址. 方法2.直接在反匯編代碼區更改,這時可以使用匯編代碼更改,不用記機器碼.完了.右擊-->復制到可執行文件-->保存文件.很是方便哪! 關於虛擬地址和偏移地址: ollydbg果然強大,太強大了,在欲修改的指令處右擊-->復制到可執行文件,彈出窗口中游標所在行即是欲修改的指令所在的偏移地址,右擊-->匯編,直接修改匯編指令,不用記機器碼,又不用虛擬地址到偏移地址的轉換.改完後保存文件.爽丫! olldbg 下怎麼下消息斷點？ 如在softice 中下 BMSG 0084 WM_DESTROY，在olldbg下該怎麼做？ 不如下斷 SendMessage，PostMessage，程序中的消息不一定都經過消息循環。 Ollydbg下消息斷點的一個方法 原文： SoftIce can trace application messages. And Olly? by FuZzYBiT SoftIce can trace application messages. And Olly? And so does OllyDbg. That』s a very 「hidden feature」. I guess it is sooo useful. 1. Open program 2. Names window [CTRL+N in CPU Window] 3. Find User32.TranslateMessage API 4. right click/FindReferences 5. conditional breakpoint [SHIFT+F4] 6. expression: MSG 7. Log function arguments: Always If you cannot find it, try right click SEARCH FOR-> ALL INTERMODULAR CALLS. But if I want to trap a specific message like WM_COMMAND? To Log Only WM_COMMAND Do it in this fashion: 1. Open program 2. Names window [CTRL+N in CPU Window] 3. Find User32.TranslateMessage API 4. right click/FindReferences 5. conditional breakpoint [SHIFT+F4] 6. Condtion box: MSG==WM_COMMAND 7. Log function arguments: On Condition If you can』t find User32.TranslateMessage API, do the same as above. 翻譯: SoftIce 能夠跟蹤應用程序的消息，那麼OllyDbg呢？ by FuZzYBiT OllyDbg也是可以的，那是一個非常"隱蔽的功能"。它是如此的有用。 1. 打開程序 2. 名字窗口[ 在CPU窗口中按CTRL+N ] 3. 查找 User32.TranslateMessage API 4. 右擊/FindReferences(查找參考) 5. 下條件斷點 [SHIFT+F4] 6. 表達式: MSG 7. 記錄函數參數:永遠 如果你不能找到它，試試右擊滑鼠，然後搜索全部模塊中的名稱。 但是如果我想要捕捉一個特定的消息如WM_COMMAND呢? 只對WM_COMMAND記錄 用這個方法做: 1. 打開一個程序 2. 名字窗口[ 在CPU窗口中按CTRL+N ] 3. 查找 User32.TranslateMessage API 4. 右擊/FindReferences(查找參考) 5. 下條件斷點 [SHIFT+F4] 6. 條件框:MSG==WM_COMMAND 7. 記錄函數參數: 條件滿足時 如果你不能找到User32.TranslateMessage API，象上面那樣做。 以下命令適用於 OllyDbg 的命令行插件 Cmdline.dll（顯示於程序的插件菜單中） 聆風聽雨整理

8. OD工具如何查找特定的匯編指令如：MOV edi，edi 這樣的

所有指令序列查找范圍是當前CPU窗口所在的內存段。

Ctrl+G,然後輸入401000,回車,然後你再找

你先得跳到你要找的代碼所在的內存段,EXE是從401000開始的,如果是DLL的話,得按Alt+E,查看模塊的基址,然後跳到基址之後再查找

9. exe+地址怎麼在od里搜索

058E2F1C ;

靜態地址 cstrike.exe+1100ABC , 偏移量分別是 7c , 5d4 , cc ;

在這里插入圖片描述

在這里插入圖片描述

二、使用 OD 工具附加游戲進程

嘗試使用 OD 查找 子彈數據動態地址 058E2F1C , 對應的靜態地址 , 即基地址 ;

關閉 CE , 注意不能關閉游戲 , 游戲一旦關閉 , 下一次打開 , 動態地址就不是 058E2F1C 了 , 就會出現一個新的動態地址 ;

先運行 OD 調試器 , 注意 , 運行 OD 工具時 , 要以管理員身份運行 ;

在這里燃旁辯插入圖片啟前描述

先附加程序 ,

在這里插入圖片描述

在進程窗皮缺口中 , 選擇要附加的進程 ;
在這里插入圖片描述

注意 , 進入調試界面第一件事就是點擊 運行 按鈕 在這里插入圖片描述 , 否則 游戲進程 會一直卡住 ;

在這里插入圖片描述

在這里插入圖片描述

三、在 OD 工具中查看 058E2F1C 地址數據

在 OD 工具的 Command 命令框中 , 輸入

dd 058E2F1C
1
1
命令 , 該命令就是查看訪問 058E2F1C 地址的數據 ;

10. 如何使用OD和Ce配合查找基地址及其偏移

先用CE掃到 你需要的內存地址 之後再命令窗口 輸入 dd 你掃描到的內存地址 或者在 數據窗口 用轉到表達式的辦法 轉到 你用 ce 掃描到的地址 （這里試 數據窗口 不是 反匯編窗口，也即是 反匯編下邊的 那個窗口） ， 在數據窗口找到遲漏櫻你的 內存地址 後，用下斷的方式 去看反匯編窗口 斷在什麼位置！及所在位置的表達式 是什麼內存 例如 MOV DWORD PTR DS:[ESI+260] 這個時候你要去看 esi 的值 取到 esi的碼叢值後可以用OD繼續跟也可以用CE掃搜歲描 ESI的值 之後再在 OD的數據窗口用 dd 數據的辦法 去跟也可以用 轉到表達式的辦法轉 到 你用ce掃到的地址 ，如此循環