工具介紹

OllyDbg調試器1精選課件什么是OllyDbg?OllyDbg簡稱OD，是一款具有可視化界面的用戶模式調試器，結合了動態調試和靜態分析，具有強大的反匯編引擎，能夠識別數千個被C和Windows所使用的函數，并能將其參數注釋出，能自動分析函數過程、循環語句、代碼中的字符串等。下面認識一下OllyDbg的界面2精選課件顯示被調試程序的反匯編代碼顯示當前所選線程的

CPU

寄存器內容。

顯示反匯編窗口中選中的第一個命令的參數及一些跳轉目標地址、字串等

顯示內存或文件的內容。顯示當前線程的堆棧

3精選課件反匯編窗口的列中，雙擊的效果:

地址列：顯示相對被單擊地址的地址，再次雙擊返回到標準地址模式；

Hex數據列：設置或取消無條件斷點，對應的快捷鍵是F2鍵；反匯編列：調用匯編器，可直接修改匯編代碼；注釋列：允許增加或編輯注釋，對應快捷鍵是“；“鍵4精選課件調試中我們經常要用到的快捷鍵有這些：

F2：設置斷點，只要在光標定位的位置（上圖中灰色條）按F2鍵即可，再按一次F2鍵則會刪除斷點

F8：單步步過。每按一次這個鍵執行一條反匯編窗口中的一條指令，遇到

CALL

等子程序不進入其代碼

F7：單步步入。功能同單步步過(F8)類似，區別是遇到

CALL

等子程序時會進入其中，進入后首先會停留在子程序的第一條指令上

F4：運行到選定位置。作用就是直接運行到光標所在位置處暫停

F9：運行。按下這個鍵如果沒有設置相應斷點的話，被調試的程序將直接開始運行

CTR+F9：執行到返回。此命令在執行到一個

ret

(返回指令)指令時暫停，常用于從系統領空返回到我們調試的程序領空

ALT+F9：執行到用戶代碼。可用于從系統領空快速返回到我們調試的程序領空5精選課件如何加載程序？

點擊菜單

文件->打開

（快捷鍵是

F3）來打開一個可執行文件進行調試

點擊菜單

文件->附加

來附加一個已運行的進程上進行調試。注意這里要附加的程序必須已運行。6精選課件基本操作：1、準備工作我們以Traceme這個軟件為例，了解Traceme序列號的驗證流程7精選課件2、加載目標文件調試運行OllyDbg后，打開選項/調試設置程序運行之后，在系統空間里會觸發一個INT3文件入口點程序的Winmain（）函數入口點，但一般都是在文件入口點8精選課件設置完成之后，載入文件，出現如圖所示：虛擬地址機器碼：CPU執行的機器代碼匯編指令：和機器碼對應的程序代碼9精選課件3、單步跟蹤調試器一個最基本功能就是動態跟蹤，OllyDbg單步跟蹤功能鍵：F7與F8的區別：在遇到CALL時，F8會直接跳過，而F7就跟進去10精選課件4、設置斷點斷點是調試器的一個重要功能，它能使程序中斷在需要的地方，從而方便對其分析，常用的斷點是INT3，其原理是OllyDbg將斷點處的代碼設置為int3指令。方法：將光標移動到要設斷點的行，按F2鍵就可以設置了，也可以雙擊Hex數據列目的：可以讓軟件運行的時候停在設斷點的地方，以方便反復跟蹤調試當關閉程序時，OllyDbg會將設置好的斷點保存在UDD文件中，下次運行時還有效。11精選課件5、調試分析：調試分析其實就是分析程序代碼的意義，如圖：閱讀這些代碼時，首先要搞清楚各API函數的定義，還弄明白那些匯編程序代碼的具體含義12精選課件6、保存修改后的文件圖中紅色的就是我們修改的地方，然后就點右鍵，復制到文件，就可以保存當前的修改13精選課件我們現在來舉個簡答你的例子破解TraceMe的注冊碼操作步驟如圖：14精選課件首先當然要載入TraceMe，載入之后就會出現如下窗口文件入口點然后我們要找到GetDlgItemTextA函數，因為程序從文本框中將內容讀取出來，需要用到這個函數。我們就用Ctrl+G打開跟隨表達式的窗口，在里面輸入函數名就可以跟蹤到函數名存在的地方15精選課件注意：此時的領空是模塊USER32，領空就是在某一時刻，CPU的CS:EIP所指向代碼的所有者領空接著，在USER32的領空中，在77D6B05E代碼行按下F2，下斷點，然后按F9運行,然后鍵入下圖所示：16精選課件點check，可以看到程序被OD截停在下斷點的地方，如圖所示：接著，按Alt+F9，返回到用戶代碼，可以回到：注意：這里又回到TraceMe的領空了我們可以按Alt+B調出斷點窗口，然后將GetDlgItemTextA的斷點改為已禁止17精選課件接下來就在004011AE下一個斷點,因為這里有調用到GetDlgItemTextA這個函數然后就要開始分析這些匯編代碼的意義，所以，我們在使用這個軟件的時候，一定要明白這些代碼的含義，現在我們只是先認識一下這個軟件的作用，所以就不為大家做出分析，接下來就是修改代碼了。其實我們要是分析下來，可以發現，其實問題就在于一個代碼行--004011F518精選課件修改這一反匯編代碼段，雙擊反匯編列后者按空格鍵，鍵入NOP，點匯編最后F9運行，你會看到：19精選課件下面就介紹一些分析常用的匯編代碼含義：MOV傳送字或字節如MOVAB，就是將B中的字傳給APUSH把字壓入堆棧CALL

子程序調用指令XOR異或運算所謂異或，就是兩值不同，則為真，反之，為假RET

子程序返回指令CMP比較.(兩操作數作減法,僅修改標志位,不回送結果)JNZ(或jNE)OPR--------------結果不為零轉移,測試條件ZF=0

DEC減1INC加1JZ(或jE)

OPR---------------結果為零轉移,測試條件ZF=1

SUB減法LEA裝入有效地址

例:LEADX,string;把偏移地址存到DX.

MOVSX先符號擴展,再傳送REP當CX/ECX0時重復AND與運算TEST測試.(兩操作數作與運算,僅修改標志位,不回送結果)20