Ollydbg使用方法与技巧.doc

Ollydbg使用方法与技巧 OllyDbg的help-怎样开始调试（翻译） 最简单的方法是启动OllyDbg，点击File|Open，然后选择你想调试的程序。程序需要命令行参数输入对话框下方的文本栏。 重新开始调试最后一个程序的快捷键是Ctrl+F2，并且OllyDbg使用相同的参数。 你也可以点选历史记录。把程序拖入OllyDbg也可以开始调试。 当然，当启动OllyDbg时，你在命令行中也能指定被调试的程序名与参数。比如： 你可以创建桌面快捷方式指向OllyDbg，选择属性，到快捷方式，把程序名加入目 标栏。每次你双击这个快捷图标，OllyDbg自动装载被调试程序。 你可以attach OllyDbg到某个正在运行的进程。点击File|Attach，从列表中选择 该进程。注意：当你关闭OllyDbg，这个进程也会终止。不要试图attach系统进程 ，这很可能使系统完全SI机。（事实上，大多数情况下，OS不允许attach敏感进 程） OllyDbg能作为just-in-time debugger。这需要在注册表中登记。点击 Options|Just-in-time debugging，在对话框中按“Make OllyDbg just-in-time debugger”。现在，当一些程序崩溃，你会被询问是否调试它。这样，操作系统 可以启动OllyDbg并直接停在异常发生处。如果你选择attaching without confirmation，OllyDbg不会询问直接启动。要恢复原来的just-in-time debugger，在出现的对话框中按相应的按纽就行了。 其它方法还有，把OllyDbg加入可执行文件的弹出式菜单。点击Options|Add to Explorer，按“Add OllyDbg to menu in Windows Explorer”。以后你可以右击 可执行文件点选OllyDbg。这个选项创建注册表键 HKEY_CLASSES_ROOT/exefile/shell/Open with OllyDbg and HKEY_CLASSES_ROOT/exefile/shell/Open with OllyDbg/command OllyDbg可以调试控制台（基于文本）程序。 注意：WindowsNT或Windows2000下，你必须有管理员权限 OllyDbg的help-通用快捷键（翻译） Golbal shortcuts（通用快捷键） 这些快捷键在OllyDbg中通用，不依赖于当前活动窗口。 Ctrl+F2---OllyDbg重置，重新开始调试。如果没有活动程序，OllyDbg装入历史列表中的第一个程序。OllyDbg重置会释放内存移除硬断点。 Alt+F2－－关闭被调试的程序。如果程序还在活动状态，你会被询问是否执行该操作。 F3－－显示“Open 32-bit .exe file”对话框，这里可以选择可执行文件与指定参数 Alt+F5－－使OllyDbg显示在屏幕最前方。如果被调试程序中断时显示窗口遮住OllyDbg的一些区域，不继续运行又不能移动或最小化它。激活OllyDbg按Alt+F5可以解决。如果你再次按Alt+F5，OllyDbg会恢复为普通窗口。OllyDbg的当前状态显示在状态栏。 F7－－step into，执行下一条简单命令。如果该命令是一个函数调用，进入调用函数内部。如果命令有REP前缀，执行该命令的一步操作。 Shift+F7－－和F7相同，除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。 Ctrl＋F7－－animate into，一步一步执行程序，也进入函数调用（就象你一直按着F7，不过更快）。当你执行一些单步或继续命令，程序到达有效断点，一些异常发生时，Animation终止。每步执行，OllyDbg重画所有窗口。要加速animation，关闭所有窗口而不要只改变现有窗口的大小。终止animation，也可按Esc。 F8－step over，执行下一条简单命令。如果该命令是一个函数调用，立刻执行完该函数（除非函数内部有断点或产生异常）如果命令有REP前缀，执行所有重复操作，并停于下一条命令。 Shift+F8－－和F8相同，除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。 Ctrl+F8－－animate over，一步一步执行程序，但不进入函数调用（就象你一直按着F8，不过更快）。当你执行一些单步或继续命令，程序Animation到达有效断点或异常发生时，Animation终止。每步执行，OllyDbg重画所有窗口。要加速animation，关闭所有窗口而不要只改变现有窗口的大小。终止animation也可按Esc。 F