OllyDbg是一個功能強大的od反匯編工具，我們在對軟件進(jìn)行反匯編的時候經(jīng)常會用到。軟件本身附帶了脫殼腳本和各種插件，能夠支持Windows平臺下的32/64位系統(tǒng)上使用是反匯編工作必備的調(diào)試工具，基本已經(jīng)完全取代了SoftICE。本次帶來的是OllyDbg漢化版，并且是綠色安裝包，解壓后就可以直接使用了。

如果大家要想要修改的版本的話，推薦使用freecat兄弟制作的AutoPath，我已經(jīng)把這個插件放在FixOD目錄下，我把freecat兄弟發(fā)布時所用的說明也放在同一目錄下，大家可以根據(jù)說明來使用這個插件改造你的OllyDBG。

軟件特色

1、代碼分析-跟蹤寄存器、識別過程、循環(huán)、API調(diào)用、開關(guān)、表、常量和字符串

2、允許用戶定義標(biāo)簽、注釋和功能描述

3、調(diào)試多線程應(yīng)用程序

4、解碼對1900多個標(biāo)準(zhǔn)api和400多個c函數(shù)的調(diào)用

5、設(shè)置條件、日志記錄、內(nèi)存和硬件斷點

6、動態(tài)跟蹤堆棧幀

7、查找對常量或地址范圍的引用

軟件功能

1、多語言圖形用戶界面

2、支持AVS指令

3、調(diào)用堆棧窗口

4、SEH和VEH鏈條

5、多字節(jié)字符轉(zhuǎn)儲

6、在轉(zhuǎn)儲中搜索整數(shù)和浮點數(shù)

7、使用int1、hlt、cli、sti或insb而不是int3的軟件斷點

8、對ntfs流的有限支持

9、支持重復(fù)計數(shù)

10、立即數(shù)據(jù)語句的匯編（db xx等）

11、突出顯示運行中跟蹤

12、更復(fù)雜的代碼序列

13、顯示可用內(nèi)存。

使用說明

一、基礎(chǔ)知識

1.1、基礎(chǔ)使用

該軟件是Windows平臺下Ring3級的程序調(diào)試?yán)鳌３绦蛘{(diào)試有靜態(tài)調(diào)試和動態(tài)調(diào)試兩種。靜態(tài)調(diào)試是指將程序源代碼編譯成可執(zhí)行程序之前，用手工或編譯程序等方法對程序源代碼進(jìn)行測試，來查找和修正程序中的語法錯誤和邏輯錯誤。動態(tài)調(diào)試則是在可執(zhí)行程序的運行過程中，來查找和修正程序中的語法錯誤和邏輯錯誤。隨著系統(tǒng)安全與逆向工程的不斷發(fā)展，程序調(diào)試已經(jīng)成為信息安全愛好者所必備的一種技術(shù)。OD結(jié)合了靜態(tài)調(diào)試和動態(tài)調(diào)試的方法，功能強大，已經(jīng)成為了Windows平臺下普通應(yīng)用程序的調(diào)試?yán)鳌?/p>

1.2、PE文件

PE文件的全稱是Portable Executable，意為可移植的可執(zhí)行的文件，常見的EXE、DLL、OCX、SYS、COM都是PE文件

1.3、寄存器

EAX 是”累加器”(accumulator), 它是很多加法乘法指令的缺省寄存器。

EBX 是”基地址”(base)寄存器, 在內(nèi)存尋址時存放基地址。

ECX 是計數(shù)器(counter), 是重復(fù)(REP)前綴指令和LOOP指令的內(nèi)定計數(shù)器。

EDX 則總是被用來放整數(shù)除法產(chǎn)生的余數(shù)。

ESI/EDI分別叫做”源/目標(biāo)索引寄存器”(source/destination index),因為在很多字符串操作指令中, DS:ESI指向源串,而ES:EDI指向目標(biāo)串。

EBP是”基址指針”(BASE POINTER), 它最經(jīng)常被用作高級語言函數(shù)調(diào)用的”框架指針”(frame pointer)。

二、OD的各個窗口

2.1、反匯編窗口

2.2、信息窗口

2.3、數(shù)據(jù)窗口

用于顯示內(nèi)存或文件的內(nèi)容。可以從以下預(yù)處理格式中選擇一種顯示方式：字節(jié)［byte］、文本［text］、整數(shù)［integer］、浮點數(shù)［float］、地址［address］,反匯編［disassembly］、PE頭［PE Header］。

2.4、寄存器窗口

用于顯示和解釋當(dāng)前所選線程的CPU寄存器中的內(nèi)容。該窗口同樣允許修改寄存器，并可以跟進(jìn)地址到其它CPU窗口。

2.5、堆棧窗口

用于顯示當(dāng)前線程的堆棧。當(dāng)被調(diào)試程序暫停運行時，堆棧窗口一般會自動滾動將當(dāng)前ESP指向的地址放在窗口的第一條。并且這個地址被高亮顯示。在某些情況下禁止?jié)L動會更方便一些，可以通過在堆棧窗口右鍵單擊[鎖定堆棧]來禁止堆棧自動滾動。

2.6、其他窗口

L -> 日志窗口

E -> 顯示程序運行使用的模塊

M -> 顯示我們程序映射到內(nèi)存的信息

T -> 顯示程序的線程窗口

W -> Windows顯示程序窗口

H -> 句柄窗口

C -> 回到主窗口，CPU窗口

P -> 如果程序經(jīng)過了修改，這里顯示修改的信息

K -> 顯示調(diào)用堆棧的窗口信息

B -> 顯示程序普通斷點的列表窗口

R -> Reference 參考窗口，顯示我們在軟件中搜索的結(jié)果。

… -> 顯示 RUN TRACE（RUN 跟蹤)命令的結(jié)果

三、OD的各種初始設(shè)置及快捷鍵

3.1、怎樣設(shè)置實時調(diào)試

當(dāng)然，我們不一定會用到實時調(diào)試，除非特殊情況。因為如果我們運行的程序出現(xiàn)崩潰時。

選項 -> 實時調(diào)試設(shè)置

3.2、在 軟件中關(guān)聯(lián)插件

允許你使用插件，這樣會對解決問題有所幫助

首先下載插件，解壓插件文件夾，為插件建立一個文件夾（可以在任意位置）

選項->界面選項

我們看到作為插件路徑的目錄已被指定，即 OllyDbg.exe 所在的目錄，可以把插件放在那里

3.3、最常用的快捷鍵

F7 執(zhí)行一行代碼，遇到 CALL 等子程序時會進(jìn)入其中，進(jìn)入后首先會停留在子程序的第一條 指令上。

F8 執(zhí)行一行代碼，遇到 CALL 等子程序不進(jìn)入其代碼。

這兩個鍵的功能有所不同，以后將會看到。

F2 在顯著行設(shè)置斷點，再次按 F2 刪除斷點。