OD脚本编写资料与示例.docVIP

OD脚本编写资料与示例 OllyScript脚本语言是一个种类汇编的语言。你使用它来控制ODbgScript和脚本运算. 在后面的文档中, “源操作数” 和 “目的操作数”表示以下含义: - 十六进制常数，既没有前缀也没有后缀。 (例如：是00FF, 而不是 0x00FF 和 00FFh的形式) 十进制常数,在后缀中加点. (例如:100. 128. 也可以是浮点数128.56,浮点数只能保留小数点后2位) - 变量，这个变量必须在使用前用Var进行定义 - 32位寄存器 (EAX, EBX, ECX, EDX, ESI, EDI, EBP, ESP, EIP)。 16位寄存器 (AX, BX, CX, DX, SI, DI, BP, SP) 8位的寄存器(AL, AH, ... DL, DH) - 被中括号括起来的内存地址 (例如：[401000] 指向内存地址为401000里存放分数据, [ecx] 指向内存地址为寄存器ecx里存放分数据). - 一个标志位，带有感叹号前缀(!CF, !PF, !AF, !ZF, !SF, !DF, !OF) - 字符串，也可叫数据序列。其格式为： #6A0000# (数值在两个“#”号之间)，两个“#”号之间必须包含至少有一个数值。 1234567ABCDEF - 包含“?”通配符的字符串。比如 #6A??00# 或者 #6?0000# 3.1.1 保留变量 ------------------------ $RESULT ------- RESULT 保存某些函数的返回值，比如FIND函数，等等。 在ODbgScript的脚本调试窗口,你能观察到它的变换,并且可以修改它. $VERSION -------- VERSION ODBGScript的版本信息,整个是系统保留变量名. 例： cmp $VERSION, 1.47 //比较是否大于 1.47版 ja version_above_147 3.1.2 指令 -------------- #INC 文件名 --------- 一个脚本文件包含另外一个脚本.就像调用子程序一样.两个脚本中的变量名不能相同. 例: #inc test.txt #LOG ---- 开始记录运行指令 指令会显示在OllyDbg的log窗口中，每条记录前都会加上“--”的前缀 例： #log ADD 目的操作数,源操作数 ------------- ADD 源操作数与目的操作数相加，并把相加的结果保存到目的操作数中,支持字符串相加. 例： add x, 0F // x=x+F add eax, x //eax=eax+x add [401000], 5 //[401000]=[401000]+5 浮点数相加 add x,16.50 //x=x+16.50 (字符串相加) add y, times // 如果在次之前y=1000 ，则在执行完此指令之后y=1000 times AI -- Animate Into 在OllyDbg中执行“自动步入” [Animate into]操作。 相当于在OllyDbg中按下CTRL+F7 例： ai ALLOC 大小 ---------- 申请内存, 你能读/写/执行. 例： alloc 1000 //新申请内存,大小为1000,返回结果$RESULT放着申请的内存开始地址. free $RESULT, 1000 AN 地址 ------- ANalyze 从指定地址处，对代码进行分析。 例： an eip // 相当于在OllyDbg中按 Ctrl+A键 AND 目的操作数, 源操作数 ------------- AND 源操作数与目的操作数进行逻辑与操作，并将结果保存到到目的操作数中。 例： and x, 0F //x=xf and eax, x //eax=eaxx and [401000], 5 //[401000]=[401000]5 AO -- Animate Over 在OllyDbg中执行“自动步过” [Animate over]操作。 相当于在OllyDbg中按下CTRL+F8 例： ao ASK 问题 ------------