OllyDbg 操作说明

 

 

参考

书：《加密与解密》

视频：小甲鱼 解密系列 视频

 

一、OllyDbg基本界面

 

图片1

 

如果按窗口切换按钮出现下面的情况，乱了，只需要双击一个窗口让它全屏就行了。

图片2

 

 

二、部分快捷键介绍

 

F3 ： 打开目标文件

F2 ： 设置断点

F7：单步步进，遇到CALL跟进

F8：单步步过，遇到CALL路过，不跟进

F9：运行调试程序，直到运行到断点处

F4：运行调试程序，直到运行到光标处

Ctrl+F7/F8 相当于一直按F7/F8

Ctrl+F9 快速跳出函数

Alt+F9 快速跳出系统函数

Ctrl+F2 重新载入程序

在反汇编面板中

；键：写注解

空格键：改变当前的指令

数据面板中

Ctrl+G：打开地址窗口

空格：编辑数据

 

 

选中改过的部分，右键选择复制到可执行程序

 

图片8

 

 

在弹出的窗口中右键选择  备份-->保存数据到文件即可

 

图片9

 

 

 

Ctrl+N 打开程序的导入表。查看程序导入了那些函数，选中GetDlgItemTextA，右键 选择在反汇编窗口中跟随输入函数

调试遇到异常：

选项-->调试设置-->选择异常-->在同时忽略以下指定的异常或范围，并且点击添加范围，写入00000000～FFFFFFFF

 

字符查找：

1.CPU窗口的数据面版，按Ctrl+B，输入相应的字符串查找（有ASCII与UNCODE，如果找不到两个都试试）。

找到后直接修改保存

2.用OD打开程序，右键-->查找-->所有参考文本字串

查看堆栈调用：

暂停程序。按alt+k，查看k窗口。k窗口，是通过调动堆栈，判断哪些函数被调用过。

查看会标指令调用：

图片1

 

选中右键即可跳到call的地址。

想要找出call这个函数的地址，还可以选中004046E0，右键--〉查找参考--〉选定命令，即可看到call这个函数的地址