OD和IDA的使用题库.doc

OD和IDA的使用 专业：信息安全 班级：0441104 姓名：夏维 学号：2011211830 授课老师：董涛 一 OD的使用 1 界面构成 OllyDbg发行版是一个ZIP压缩包，只要解压运行OllyDbg.exe即可。运行OllyDbg打开进程，主窗口显示反汇编清单。各窗口的外观属性如：“标题栏(bar）、字体(font）”等在右键菜单界面选项（appearance)里控制 代码窗口 代码窗口（OllyDbg帮助文件自称反编汇窗口）显示被调试程序的代码。他有四个列 地址/Address(虚拟地址)HEX数据/HEX dump(机器码)反汇编/Diassassembly（汇编代码） 注释/Comment（注释） 最后一列注释（Comment）显示相关API参数或运行简表，非常有用，有点类似于IDA Pro。 在代码窗口（地址行，不是列标题）双击时完成动作。 地址（Address）列：显示相对被双击地址的地址，再次双击返回标准地址模式； HEX数据（HEX dump）列：设置或取消无条件断点，按F2键也能设置断点； 反汇编(Diassassembly）列：调试编辑器，可直接修改汇编代码； 注释（Comment）列：允许增加或编辑注释。 代码窗口允许浏览、分析、搜索和修改代码，保存改变到可执行文件，设置断点等。相关弹出式菜单包括100多项。 信息窗口（Information window) 动态跟踪时，与指令相关的各寄存器的值、API函数调用提示、跳转提示等信息显示。 数据窗口 以十六进制或内存方式显示文件在内容中的数据，类似于softICE的数据窗口。要显示数据可单击右键转到→表达式（Go to→expression)或按Ctrl+G键打开地址窗口，输入地址。 显示CPU各寄存器的值，支持浮点（FPU）、MMX，3DNow！寄存器，可以单击鼠标右键切换。 堆栈窗口非常重要，各API函数、子程序等都利用它传递参数、变量等。OllyDbg堆栈窗口功能强大。如果传递的参数都是字符串，OllyDbg会在注释里直接将其显示出来，再也不用像SoftICE那样经常用D命令查看内存数据了。 基本调试方法 OllyDBG 有三种方式来载入程序进行调试，一种是点击菜单 文件-打开 （快捷键是 F3）来打开一个可执行文件进行调试，另一种是点击菜单 文件-附加 来附加到一个已运行的进程上进行调试。注意这里要附加的程序必须已运行。第三种就是用右键菜单来载入程序（不知这种算不算）。一般情况下我们选第一种方式。比如我们选择一个 来调试，通过菜单 文件-打开 来载入这个程序，OllyDBG 中显示的内容将会是这样： 调试中我们经常要用到的快捷键有这些： F2：设置断点，只要在光标定位的位置（图中灰色条）按F2键即可，再按一次F2键则会删除断点。（相当于 SoftICE 中的 F9） F8：单步步过。每按一次这个键执行一条反汇编窗口中的一条指令，遇到 CALL 等子程序不进入其代码。（相当于 SoftICE 中的 F10） F7：单步步入。功能同单步步过(F8)类似，区别是遇到 CALL 等子程序时会进入其中，进入后首先会停留在子程序的第一条指令上。（相当于 SoftICE 中的 F8） F4：运行到选定位置。作用就是直接运行到光标所在位置处暂停。（相当于 SoftICE 中的 F7） F9：运行。按下这个键如果没有设置相应断点的话，被调试的程序将直接开始运行。（相当于 SoftICE 中的 F5）  CTR+F9：执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停，常用于从系统领空返回到我们调试的程序领空。（相当于 SoftICE 中的 F12） ALT+F9：执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。（相当于 SoftICE 中的 F11） 在反汇编窗口中右击，出来一个菜单，我们在 查找-所有参考文本字串 上左键点击： 现在出来另一个对话框，我们在这个对话框里右击，选择“查找文本”菜单项 附个断点表：常用断点(OD中)拦截窗口：bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框：bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 bp MessageBoxIndirect