此篇内容记录OLLYDBG的基础使用方法。
0x01 OLLYDBG介绍
OLLYDBG是动态反汇编调试使用最多的工具,其基础版之上衍生了许多插件版本,提供了各类更便捷的功能,我选用的是吾爱破解提供的版本。
所谓动态反汇编调试,即是在运行目标软件,使用断点调试的方式对目标反汇编代码进行调试,这种方式可以更快速简单的定位关键点信息或对目标代码进行分析(因为堆栈、寄存器、函数调用参数等信息实时可见)。
0x02 OLLYDBG载入
OLLYDBG载入目标程序的方式一般分为两类,一类是已经在运行的程序,此时可以使用attach的方式附加到目标进程进行调试;二类是未运行的程序,这时直接打开目标程序即可进行反汇编分析。
0x03 OLLYDBG界面介绍
OLLYDBG载入目标程序后,将会打开多个窗口,下图为主窗口——反汇编代码窗口,在该窗口中熟悉OLLYDBG的主要快捷键。
0x04 OLLYDBG快捷键
主要快捷键:
除上述快捷键外,OLLYDBG还有大量的快捷功能,可自行查阅使用,对于初学者,熟练掌握了这些快捷键即可快速进入一些简单实例的调试过程。
0x05 关键点定位
关键点:目前对于反汇编的大量使用场景在于解析软件的验证流程(破解技术),某些关键技术的逆向(病毒研究)等,对于此类场景来说软件中的绝大部分代码属于无关代码,是不需要进行阅读分析的,如何快速找到想要进行分析的关键性代码的位置,需要一些小的技巧,这些关键位置即是所谓的“关键点”。
定位关键点一般应根据场景进行实际分析,但通常来说有几个通用的方法:
1.根据程序关键响应来推断(对话框 提示等)
2.根据字符串进行检索(右键–search for–all refrence)
3.根据API调用进行检索(右键–search for–all intermodular calls)