OllyDbg是一种具有可视化界面的32位汇编分析调试器,OLLYDBG将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。
软件介绍
OllyDbg是一种具有可视化界面的32位汇编分析调试器,OLLYDBG将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
软件介绍
1.配置:有多达百余个选项用来设置 OllyDbg 的外观和运行。
2.数据格式:OllyDbg 的数据窗口能够显示的所有数据格式:HEX、ASCII、UNICODE、 16/32位有/无符号/HEX整数、32/64/80位浮点数、地址、反汇编(MASM、IDEAL或是HLA)、PE文件头或线程数据块。
3.帮助:此文件中包含了关于理解和使用 OllyDbg 的必要的信息。如果您还有 Windows API 帮助文件的话(由于版权的问题 win32.hlp 没有包括在内),您可以将它挂在 OllyDbg 中,这样就可以快速获得系统函数的相关帮助。
4.启动:您可以采用命令行的形式指定可执行文件、也可以从菜单中选择,或直接拖放到OllyDbg中,或者重新启动上一个被调试程序,或是挂接[Attach]一个正在运行的程序。OllyDbg支持即时调试。OllyDbg根本不需要安装,可直接在软盘中运行!
5.调试DLLs:您可以利用OllyDbg调试标准动态链接库(DLLs)。OllyDbg 会自动运行一个可执行程序。这个程序会加载链接库,并允许您调用链接库的输出函数。
6.源码级调试:OllyDbg 可以识别所有 Borland 和 Microsoft 格式的调试信息。这些信息包括源代码、函数名、标签、全局变量、静态变量。有限度的支持动态(栈)变量和结构。
7.代码高亮:OllyDbg 的反汇编器可以高亮不同类型的指令(如:跳转、条件跳转、入栈、出栈、调用、返回、特殊的或是无效的指令)和不同的操作数(常规[general]、FPU/SSE、段/系统寄存器、在栈或内存中的操作数,常量)。您可以定制个性化高亮方案。
8.线程:OllyDbg 可以调试多线程程序。因此您可以在多个线程之间转换,挂起、恢复、终止线程或是改变线程优先级。并且线程窗口将会显示每个线程的错误(就像调用 GETLASTERROR 返回一样)。
9.分析:OllyDbg 的最大特点之一就是分析。它会分析函数过程、循环语句、选择语句、表[tables]、常量、代码中的字符串、欺骗性指令[tricky constructs]、API调用、函数中参数的数目,import表等等.. 这些分析增加了二进制代码的可读性,减少了出错的可能性,使得我们的调试工作更加容易。Object扫描。OllyDbg 可以扫描Object文件/库(包括 OMF 和 COFF 格式),解压代码段[code segments]并且对其位置进行定向。Implib扫描。由于一些DLL文件的输出函数使用的索引号,对于人来说,这些索引号没有实际含义。如果您有与DLL相应的输入库[import library],OllyDbg 就可以将序号转换成符号名称。
10.完全支持Unicode:几乎所有支持 ASCⅡ 的操作同时也支持 UNICODE,反之亦然。
11.名称:OllyDbg 可以根据 Borland 和 Microsoft 格式的调试信息,显示输入/输出符号及名称。Object 扫描器可以识别库函数。其中的名称和注释您可任意添加。如果DLL中的某些函数是通过索引号输出的,则您可通过挂接输入库[import library]来恢复原来的函数名称。不仅如此,OllyDbg还能识别大量的常量符号名(如:窗口消息、错误代码、位域[bit fields]…)并能够解码为已知的函数调用。
12.已知函数:OllyDbg 可以识别 2300 多个 C 和 Windows API 中的常用函数及其使用的参数。您可以添加描述信息、预定义解码。您还可以在已知函数设定 Log断点并可以对参数进行记录。
13.函数调用:OllyDbg 可以在没有调试信息或函数过程使用非标准的开始部分[prolog]和结尾部分[epilog]的情况下,对递归调用进行回溯。
软件功能
1.信息窗口(Information window)
动态跟踪时,与指令相关的各寄存器的值、API函数调用提示、跳转提示等信息显示。
2.数据窗口
以十六进制或内存方式显示文件在内容中的数据,类似于softICE的数据窗口。要显示数据可单击右键"转到→表达式(Go to→expression)"或按Ctrl+G键打开地址窗口,输入地址。
3.寄存器(Registers window)
显示CPU各寄存器的值,支持浮点(FPU)、MMX,3DNow!寄存器,可以单击鼠标右键切换。
4.堆栈窗口(Stack window)
堆栈窗口非常重要,各API函数、子程序等都利用它传递参数、变量等。OllyDbg堆栈窗口功能强大。如果传递的参数都是字符串,OllyDbg会在注释里直接将其显示出来,再也不用像SoftICE那样经常用D命令查看内存数据了。
5.代码窗口
代码窗口(OllyDbg帮助文件自称反汇编窗口)显示被调试程序的代码。他有四个列地址/Address(虚拟地址)HEX数据/HEX dump(机器码)/Disassembly(反汇编) 注释/Comment(注释)最后一列注释(Comment)显示相关API参数或运行简表,非常有用,有点类似于IDA Pro。
软件亮点
1.ollydbg+118款脱壳脚本对OD的窗口签名进行了更改,从而避免被针对性检测
2.修改了OD窗口切换快捷键为TAB键、
3.修改附加窗口支持滚轮滚动
4.修改OD启动时为优先加载插件
5.ollydbg+118款脱壳脚本采用论坛夜冷风发布的字符串插件,有效的解决了字符串退出BUG
6.ollydbg+118款脱壳脚本增加了advancedolly插件有效解决了OD无法批量修改及无法进行带壳数据窗口跟随的BUG
7.ollydbg+118款脱壳脚本改动了OD子窗口的类名
8.更新了部分插件及添加部分插件
9.sod默认设置为全选模式,以后会自行更新
10.本次更新后的MD5:fe6ce83710c8834d37d979d818a1c6ba 吾爱破解专用版.rar
11.解决注入代码时提示框
常见问题
问:什么时候发布OllyDbg的新版本?
答:我不能告诉你什么时候第一个测试版的2.00将准备好。
问:请保持OllyDbg免费?
答:我没有意图使OllyDbg商业化,即使在第二版本。它被认为是一个共享软件,只有版权的原因。
问:如何在调用API函数时设置断点?如MessageBoxA?
答:这很简单。打开命令行(Alt+F1)并键入“BPX MessageBoxA”,或者在反汇编器中搜索所有的迭代模块调用,单击对MessageBoxA的任何调用并在每次调用此函数时设置断点。如果你对Windows NT, 2000或XP很满意,你可以直接在系统DLL中的API函数上设置断点。名称窗口包含特殊的菜单项“导入上的断点”。在许多情况下,将调用参数写入日志文件的日志断点是普通断点的一个很好的替代方法。
问:我可以在Windows 95下设置硬件断点吗?
答:不!当切换任务或处理中断时,Windows 95/98不更新调试寄存器。这意味着您在调试程序中设置的硬件断点将出现在所有其他进程中,包括OllyDbg和操作系统本身。注意,基于95的Windows ME支持HW断点。
问:如何设置断点的消息,例如,WM_PAINT?
答:-进入窗口列表,选择感兴趣的窗口,右键单击并设置消息断点。注意,在表达式中可以使用最重要的Windows常量的符号名,比如WM_PAINT。
问:我找不到注释中显示的字符串怎么办?
答:与其他调试器不同,OllyDbg将进程的内存视为一组独立的内存块。如果您在反汇编器中开始搜索,它将只处理被反汇编的块,这通常是一个代码段,但文本字符串通常驻留在数据中。但是,您可以遵循数据指针。选择引用该字符串的命令,右键单击它并选择“Follow in Dump”,然后选择“Address”或“Immediate constant”。这将打开CPU转储中的字符串,OllyDbg允许您扫描代码并提取引用所有(嗯,大部分)文本字符串的命令列表,包括ASCII、UNICODE或(如果在选项中启用的话)pascal样式的命令,然后搜索这些字符串以查找文本的出现。
问:我可以只分析选定的代码段吗?
答:这个问题通常出现在你在一个10+ MB的程序中修改了几个命令之后。答案是否定的。也许你已经删除了一个跳转,替换了一个呼叫或者修改了一个寄存器。这些变化可以影响选择之外的分析。由于OllyDbg非常依赖分析数据,因此我决定采用最安全的解决方案。
更新记录
希望我现在有更多的时间来学习2.0版。目前我正在分析仪工作。寄存器和堆栈内容的全局预测实际上已经完成。这是一个非常困难的部分,开始的时候速度非常慢,但是今天我找到了一种方法,可以把它加速100倍以上。接下来,我计划实现已知的功能。接下来是调试引擎。
当然,OllyDbg 2.0将适用于所有现有的32位Windows版本:95、98、ME、NT4、2000和XP。我根本不知道使用Server 2003是否有意义,而且Longhorn还没有准备好。
几周前,我以不同Windows版本的形式请求帮助,我将使用这些版本进行调试。说实话,我没想到会有这么多的工作机会:
视窗98及/或98 SE
Windows ME (Tony,这是一个很好的礼物!)
Windows 2000家庭和/或专业(谢谢你,鲁迪!没有家庭版吗?)
Windows XP家庭和/或专业(谢谢你,彼得!)
Windows Server 2003(非常感谢,Casey!)
我要特别感谢Reinhard——他的文章完成了我的收藏!所以请不要再给我发窗口了,现在我有了所有的窗口:)
