使用OllyDbg从零开始Cracking第一章OD的各个窗口介绍.docVIP

使用OllyDbg从零开始Cracking 第一章 （翻译：BGCoder） 《使用OllyDbg从零开始Cracking》教程的目的是为那些想精通Cracking（译注1）艺术的人提供必要的基础知识。有了这些基础知识，你就可以阅读和理解更高级的教程，例如《INTRODUCCIóN AL CRACKING》（译注2），这个系列教程现在仍在不断加入新的内容。 写这个教程想法的产生，是由于意识到了《INTRODUCCIóN AL CRACKING》中的很多教程对于新手来说太过于复杂。而新手们还未能达到课程所需的能力要求。多方面的原因导致这些新人难以继续学习。因此，《使用OllyDbg从零开始Cracking》的目标并不是取代来自《INTRODUCCIóN AL CRACKING》中的教程（它里面的教程数量已逾500），而是为学完这个课程后的读者打下一个良好的基础，以便去学习阅读日益复杂的资料。它的主要目的是减少课程数量，提供必要的基础知识，从而使新的Cracker对更复杂的文章资料能够深入的理解。 为什么使用OllyDbg？ 我们不会去探讨SoftICE和OllyDbg之间的对抗，我认为即使是SoftICE的狂热追随者也可以很容易的入手OllyDbg。而OllyDbg拥有更多的资料且更容易学习。我们需要从OllyDbg这扇大门进入Cracking的世界。以后可能会在必要的时候换成其它调试器，但变化的只是它们的使用方法，不变的是它们的本质。 让我们从头开始。 首先，需要装备我们以后将主要使用的工具（OllyDbg），点此下载（译注3）。 下载成功后，将其解压到你容易访问的硬盘文件夹内，一个好的办法是在C盘创建一个目录，尽管它在哪里都可以运行，在这里我选择了C:\。 解压后，进入你创建的文件夹内可以看到： 它的可执行文件是OLLYDBG.exe，为了方便，我们可以将其快捷方式发送到桌面。 好的，启动软件，点击OllyDbg图标。 上图的消息框显示，PSAPI.DLL，一个库文件旧于我们系统上的同名DLL文件。如果你点击Yes，那么这个旧文件就会从你的文件夹内消失，然后使用系统自身的。尽管我看不出两个文件有什么不同，但是最好选择随软件包自带的，所以永远要点击No（译注4）。 这是纯净的OllyDbg（译注：未加载插件非修改版），为了逐渐熟悉OllyDbg，我们打开的第一个程序来自著名的CrueHeada的CrackMe，这个文件随本文附带。 要在OllyDbg中打开文件，从File-Open或者点击图标。 随后打开一个窗口，找到CrackMe。 CrackMe打开了，此时出现的内容对我们是否清楚并不重要。在对OllyDbg不同部分的功能和少许的设置有了解之前，我们现在关心的只是是如何将它打开。之后，当学习下一节课程时，当说到Dump，至少你应该知道到哪里去找这个选项。 这里，我们看一下OllyDbg四个主要窗口： 1）反汇编窗口 OllyDbg在这里显示反汇编代码，我们将要以OllyDbg的默认配置调试分析你打开的程序。 调试选项可以在Options-Debugging options里更改。 如果勾选了自动对主模块进行分析（译注5），OllyDbg会分析程序显示它的附加信息。 这是CrackMe的分析结果的开头部分，如果我们不予分析，我们看到的会有所不同。 在分析结果中，出现了大量的信息，尽管我们现在还不清楚这些信息是什么，但看起来很有趣。同时，最好要知道，如果分析的不够正确或有错误，这些消息可以在任何时候去除。 通常OllyDbg显示程序的某些部分时是不正确的，错误的将可执行代码解释为数据。然后，它会显示类似于下图中的内容。 这种情况，你可以在反汇编窗口中右击选择Analysis-Remove analysis from module手动删除分析结果。 之后会显示正确。 额外的选项，高亮显示jumps和calls，你使用它可能会更为方便但我个人不喜欢（这会有不同的体验），右键点击，选择Appearance - Highlighting - Jumps’n’Calls。 会看到如下图所示。 这里，我们看到Call句变为绿色，跳转变为黄色。现在，反汇编窗口更加容易阅读。虽然到现在为止，我们头脑里对这些是什么意思还没有概念，但是这为将来的使用已经做了很好的准备。 2）寄存器 第二个重要的窗口——寄存器窗口 看一下这个在OllyDbg最右边的窗口，它出现了很多信息。 还有一些重要的信息我们没有看到。但是你可以设置显示模式的不同类型。右键点击，View FPU registers显