ollydbg入門記錄

標籤：none   方法   模組   資料   就是   exe   src   isp   開啟   

1.軟體視窗說明

OllyDBG 中各個視窗的名稱如。簡單解釋一下各個視窗的功能，

 

反組譯碼視窗：顯示被偵錯工具的反組譯碼代碼，標題列上的地址、HEX 資料、反組譯碼、注釋可以通過在視窗中右擊出現的菜單 介面選項->隱藏標題 或 顯示標題 來進行切換是否顯示。用滑鼠左鍵點擊注釋標籤可以切換注釋顯示的方式。

寄存器視窗：顯示當前所選線程的 CPU 寄存器內容。同樣點擊標籤 寄存器 (FPU) 可以切換顯示寄存器的方式。

資訊視窗：顯示反組譯碼視窗中選中的第一個命令的參數及一些跳轉目標地址、字串等。

資料視窗：顯示記憶體或檔案的內容。右鍵菜單可用於切換顯示方式。

堆棧視窗：顯示當前線程的堆棧。

要調整上面各個視窗的大小的話，只需左鍵按住邊框拖動，等調整好了，重新啟動一下 OllyDBG 就可以生效了。

2.軟體快速鍵

 

F2 //下斷點

F3 //載入一個可執行程式

F4 //程式執行到游標處

F5 //縮小，還原當前視窗

F7 //單步步入

F8 //單步步過

F9 //直接運行程式，遇到斷點處，程式會暫停

Ctrl+F2 重新運行程式到起始處，用於重新偵錯工具

Ctrl+F9 //執行到函數的返回處，用於跳出函數

Alt+F9 //執行到使用者代碼處，用於快速跳出系統函數

Ctrl+G //輸入十六進位地址，快速定位到該地址處

Ctrl+F2 //重新運行當前調試的程式

Alt+F2 結束當前調試的程式

暫時停止被偵錯工具的執行 (F12)

跟入被偵錯工具的 Call 中 (Ctrl+F11)

跟蹤時跳過被偵錯工具的 Call (Ctrl+F12)

執行直到返回 (Ctrl+F9)

顯示記錄視窗 (Alt+L)

顯示模組視窗 (Alt+E)

顯示記憶體視窗 (Alt+M)

顯示 CPU 視窗 (Alt+C)

顯示補丁視窗 (Ctrl+P)

顯示呼叫堆棧 (Alt+K)

顯示斷點視窗 (Alt+B)

開啟調試選項視窗 (Alt+O)

3.基本調試方法

OllyDBG 有三種方式來載入程式進行調試，

　　一種是點擊菜單 檔案->開啟 （快速鍵是 F3）來開啟一個可執行檔進行調試，

　　另一種是點擊菜單 檔案->附加 來附加到一個已啟動並執行進程上進行調試。注意這裡要附加的程式必須已運行。

　　第三種就是用右鍵菜單來載入程式（不知這種算不算）。一般情況下我們選第一種方式。比如我們選擇一個 test.exe 來調試，通過菜單 檔案->開啟 來載入這個程式

 

調試中我們經常要用到的快速鍵有這些：

F2：設定斷點，只要在游標定位的位置（中灰色條）按F2鍵即可，再按一次F2鍵則會刪除斷點。（相當於 SoftICE 中的 F9）

F8：單步步過。每按一次這個鍵執行一條反組譯碼視窗中的一條指令，遇到 CALL 等子程式不進入其代碼。（相當於 SoftICE 中的 F10）

F7：單步步入。功能同單步步過(F8)類似，區別是遇到 CALL 等子程式時會進入其中，進入後首先會停留在子程式的第一條指令上。（相當於 SoftICE 中的 F8）

F4：運行到選定位置。作用就是直接運行到游標所在位置處暫停。（相當於 SoftICE 中的 F7）

F9：運行。按下這個鍵如果沒有設定相應斷點的話，被調試的程式將直接開始運行。（相當於 SoftICE 中的 F5）

CTR+F9：執行到返回。此命令在執行到一個 ret (返回指令)指令時暫停，常用於從系統領空返回到我們調試的程式領空。（相當於 SoftICE 中的 F12）

ALT+F9：執行到使用者代碼。可用於從系統領空快速返回到我們調試的程式領空。（相當於 SoftICE 中的 F11）

ollydbg入門記錄