OllyDbg入门完全教程(完美排版)

OllyDbg

OllyDbg

OllyDbg

OllyDbg 完全教程

完全教程

完全教程

完全教程

目录

目录

目录

目录

第一章 概述

.....................................................................................................................

1

第二章 组件

5

四、 Object 扫描器［ Object scanner ］

五、 Implib 扫描器 ［ Implib scanner ］

第三章 OllyDbg 的使用

一、如何开始调试［ How to start debugging session ］

二、 CPU 窗口［ CPU window ］

.............................................

六、内存映射窗口［ Memory map window ］

...............................................................

七、监视与监察器［ Watches and inspectors ］

......................................................

八、线程［ Threads ］

..............................................................................................

九、调用栈［ Call stack ］

.....................................................................................

十、调用树［ Call tree ］

...........................................

十四、单步执行与自动执行［ Step — by — step execution and animation ］

十五、 Hit 跟踪［ Hit trace ］

十六、 Run 跟踪［ Run trace ］

十七、 快捷键

十八、插件［ Plugins ］

二、解码提示［ Decoding hints ］

...........................................................................

三、表达式赋值［ Evaluation of expressions ］

....................................................

四、自定义函数描述［ Custom function descriptions ］

1

第一章

第一章

第一章

第一章 概述

概述

概述

概述

OllyDbg 是一种具有可视化界面的 32 位汇编 — 分析调试器 。 它的特别之处在于可以在

没有源代码时解决问题，并且可以处理其它编译器无法解决的难题。

支持的处理器 ： OllyDbg 支持所有 80x86 、 奔腾 、 MMX 、 3DNOW ！ 、 Athlon 扩展指令

数据格式： OllyDbg 的数据窗口能够显示的所有数据格式： HEX 、 ASCII 、 UNICODE 、

16/32 位有 / 无符号 /HEX 整数 、 32/64/80 位浮点数 、 地址 、 反汇编 （ MASM 、 IDEAL 或是 HLA ）

、

PE 文件头或线程数据块。

API 帮助文件的话（由于版权的问题 win32.hlp

win32.hlp

win32.hlp

win32.hlp 没有包括在内 ） ， 你 可以将它挂在 OllyDbg

OllyDbg

OllyDbg

OllyDbg

中，这样就可以快速获得系统函数的相关帮助 。

到 OllyDbg 中 ， 或者重新启动上一个被调试程序 ， 或是挂接 ［ Attach ］ 一个正在运行的程序

。

OllyDbg 支持即时调试。 OllyDbg 根本不需要安装，可直接在软盘中运行！

调试 DLLs ： 你 可以利用 OllyDbg 调试标准动态链接库 (DLLs) 。 OllyDbg 会自动运行

一个可执行程序。这个程序会加载链接库，并允许 你 调用链接库的输出函数。

代码高亮 ： OllyDbg 的反汇编器可以高亮不同类型的指令 （ 如 ： 跳转 、 条件跳转 、 入栈

、

出栈 、 调用 、 返回 、 特殊的或是无效的指令 ） 和不同的操作数 （ 常规 ［ general ］ 、 FPU/SSE

、

段 / 系统寄存器、在栈或内存中的操作数，常量 ） 。 你 可以定制个性化高亮方案。

线程： OllyDbg 可以调试多线程程序。因此 你 可以在多个线程之间转换，挂起、恢复

、

2

Object 扫描： OllyDbg 可以扫描 Object 文件 / 库（包括 OMF 和 COFF 格式 ） ，解压代

码段［ code segments ］并且对其位置进行定向。

Implib 扫描 ： 由于一些 DLL 文件的输出函数使用的索引号 ， 对于人来说 ， 这些索引号

没有实际含义。如果 你 有与 DLL 相应的输入库［ import library ］ ， OllyDbg 就可以将序号转

换成符号名称。

名称： OllyDbg 可以根据 Borland 和 Microsoft 格式的调试信息，显示输入 / 输出符号

已知函数： OllyDbg 可以识别 2300 多个 C 和 Windows API 中的常用函数及其使用

函数调用： OllyDbg 可以在没有调试信息或函数过程使用非标准的开始部分［ prolog ］

和结尾部分［ epilog ］的情况下，对递归调用进行回溯。

译者注：

\

栈 ： 在栈窗口中 ， OllyDbg 能智能识别返回地址和栈框架 ［ Stack Frames ］ 。 并会留下一

些先前的调用。如果程序停在已知函数上，堆栈窗口将会对其参数进行分析解码。

译者注：栈框架［ Stack Frames ］是指一个内存区域，用于存放函数参数和局部变量。

SEH 链： 跟踪栈并显示结构化异常句柄链。全部链会显示在一个单独的窗口中。

搜索：方法真是太多了！可精确、模糊搜索命令或命令序列，搜索常数，搜索二进制

文本字符串 ， 搜索全部命令地址 ， 搜索全部常量或地址域 ［ address range ］ ， 搜索所有能跳到

选定地址的跳转 ， 搜索所有调用和被调用的函数 ， 搜索所有参考字符串 ， 在不同模块中搜索

3

窗口 ： OllyDbg 能够列出关于调试程序中的各种窗口 ， 并且可以在窗口 、 类甚至选定的

消息上设置断点。

资源 ： 如果 Windows API 函数使用了参考资源串 ， OllyDbg 可以显示它 。 其支持显示

的类型仅限于附带资源［ attached resources ］的列表、数据显示及二进制编辑。

断点 ： OllyDbg 支持各种断点 ： 一般断点 、 条件断点 、 记录断点 （ 比如记录函数参数到

执行： . 你 可以单步执行、步入子程序或者步过子程序。 你 也可以执行程序直到函数返

回时 、 执行到指定地址处 ， 还可以自动执行 。 当程序运行时 ， 你 仍然可以操纵程序并能够查

看内存、设置断点甚至修改代码。 你 也可以任意的暂停或重启被调试的程序。

分支。 Hit 跟踪会在指定指令到达之前设置断点，而在这个指令执行后，会把这个断点清除

掉。 译者注： Hit 在英文中是 “ 击中 ” 的意思，指令如果运行了就表示这个指令被 “ 击中 ” 了

，

没有运行。

Run

Run

Run

Run 跟踪： Run 跟踪可以单步执行程序，它会在一个很大的循环缓冲区中模拟运行程

序。这个模拟器包含了除了 SSE 指令集以外的所以寄存器、标志、线程错误、消息、已经

函数的参数 。 你 可以保存命令 ， 这样可以非常方便地调试自修改代码 （ 译者注 ： 比如加壳程

序 ） 。 你 可以设置条件中断 ， 条件包括地址范围 、 表达式 、 命令 。 你 可以将 Run 跟踪信息保

统计： 统计［ Profiler ］可以在跟踪时计算某些指令出现的次数。因此 你 就能了解代码

的哪一部分被频繁执行。

补丁：内置汇编器能够自动找到修改过的代码段。二进制编辑器则会以 ASCII 、

UNICODE 或者十六进制的形式同步显示修改后的数据。修改后的数据同其它数据一样 ， 能

所有补丁。 你 可以通过空格键实现补丁的激活或者禁止。

点。

4

插件 ： 你 可以把自己的插件添加到 OllyDbg 中 ， 以增加新的功能 。 OllyDbg 的插件能够

访问几乎所有重要的数据的结构、能够在 OllyDbg 的窗口中添加菜单和快捷键，能够使 用

100 个以上的插件 API 函数 。 插件 API 函数有详细的说明文档 。 默认安装已经包含了两个插

件：命令行插件和书签插件。

UDD ： OllyDbg 把所有程序或模块相关的信息保存至单独的文件中，并在模块重新加

载时继续使用。这些信息包括了标签、注释、断点、监视、分析数据、条件等等