OllyDbg實(shí)用技巧六則
dOSKEY lEE
關(guān)鍵詞： OllyDbg、OD、技巧

1、讓跳轉(zhuǎn)路徑顯示出來(lái)
打開(kāi)Options/Debugging Option。彈出Debugging Option對(duì)話(huà)框，選擇CPU頁(yè)，選定
“Show direction to jumps”、“Show jump path”和“Show grayed path if jump is
not taken”。如此以來(lái)在Disassembler窗口就會(huì)顯示跳轉(zhuǎn)的路徑了。

2、讓OD顯示MFC42.DLL中的函數(shù)
如果程序是用MFC進(jìn)行的動(dòng)態(tài)編譯，那么在OD中將只能顯示MFC42.DLL中的函數(shù)為：
00410E40 |. E8 43000000 CALL <JMP.&MFC42.#1576>
1576是函數(shù)在MFC42.DLL中的序號(hào)。打開(kāi)Debug/Select import libraries，單擊彈出的對(duì)話(huà)
框中“Add”，在彈出的打開(kāi)文件對(duì)話(huà)框中選擇“MFC42.LIB”并打開(kāi)，重新載入MFC程序，
你就可以看見(jiàn)函數(shù)名稱(chēng)變?yōu)椋?
00410E40 |. E8 43000000 CALL <JMP.&MFC42.#1576_?AfxWinMain@@Y>
IDA中分析出了來(lái)的東西一樣了！呵呵，以后不用等待IDA的“細(xì)嚼慢咽”也可以輕松搞定
MFC程序了。其他的DLL類(lèi)似，如果有序號(hào)，可以在VC的LIB目錄中找到相關(guān)的.LIB文件，加
到OD中便可。如果你沒(méi)有“MFC42.DLL”，你可以的到新論壇的下載區(qū)找，我已經(jīng)上傳到那
里了。

3、讓OD輕松躲過(guò)“ANTI-DEBUG”
很多“ANTI-DEBUG”的程序都是在程序開(kāi)始時(shí)來(lái)檢查是否安裝調(diào)試器的。用這種特性我
們可以輕松的用OD的“Attach”繞過(guò)檢查部分。如“X語(yǔ)言”，如果你喲內(nèi)TRW2K/S-ICE/OD
直接加載它的話(huà)，程序回警告你安裝了調(diào)試器并結(jié)束。但是我們?cè)凇癤語(yǔ)言”開(kāi)啟后再運(yùn)行
OD，并用“Attach”系上它就就可以了，輕松通過(guò)檢查。而且在OD系上它后仍然可以用
CTRL+A進(jìn)行分析。如此一來(lái)，快哉！：）

4、輕松對(duì)付調(diào)用“MessageBoxA”以及類(lèi)似的模態(tài)對(duì)話(huà)框的程序
很多人都認(rèn)為OD不好攔截“MessageBoxA”這類(lèi)API函數(shù)。其實(shí)我們有個(gè)很簡(jiǎn)單的辦法將
API攔截下來(lái)，并且快速找到比較地點(diǎn)/主算法地點(diǎn)。首先用OD加載目標(biāo)程序，如果不能加載，
用上面的方法“Attach”目標(biāo)程序。然后，F(xiàn)9運(yùn)行目標(biāo)程序，并且有意讓目標(biāo)程序顯示“
MessageBox”，然后切換到OD中，F(xiàn)12暫停，如
0041201F |> 53 PUSH EBX ; /Style
00412020 |. 57 PUSH EDI ; |Title
00412021 |. FF75 08 PUSH [ARG.1] ; |Text
00412024 |. FF75 F4 PUSH [LOCAL.3] ; |hOwner
00412027 |. FF15 A8534100 CALL DWORD PTR DS:[4153A8] ; /MessageBoxA
0041202D |. 85F6 TEST ESI ESI ; 停在此處
0041202F |. 8BF8 MOV EDI EAX
00412031 |. 74 05 JE SHORT 1551-CRA.00412038
F8單步一下，切換到“MessageBox”中，確認(rèn)，被OD中斷。我們可以看見(jiàn)上面的代碼41201F
處有一個(gè)“〉”，說(shuō)明可以從某段代碼跳轉(zhuǎn)到此處，我們選擇41201F這一行，在
“Information”欄看見(jiàn)一句“JUMP FROM 412003”，右鍵單擊，選擇“GO TO JUMP FROM
412003”。回到412003，一般都是條件跳轉(zhuǎn)，上面的內(nèi)容就是比較的地方啦。：）

5、使用OD的TRACK功能
OD擁有強(qiáng)大的TRACK功能，在分析算法時(shí)十分有用。首先我們要設(shè)定OD的TRACK緩沖區(qū)大
小，選擇Option/Debugging Option，在彈出的對(duì)話(huà)框中選擇TRACK頁(yè)，
“Size of run track buffer(byte/record)”，緩沖區(qū)大小，當(dāng)然約大約好。其他的設(shè)置
在我以前的OLLYDBG.INI中都已經(jīng)設(shè)置好了。然后，開(kāi)啟目標(biāo)程序，在DEBUG中選擇“Open
or clear run track”。然后我們就可以用CTRL+F11或CTRL+F12開(kāi)啟“Track into”和“
Track over”了。當(dāng)我們暫停程序的時(shí)候，可以用小鍵盤(pán)上的“+”，“-”，“*”來(lái)控制
TRACK功能了。
“Track into”和運(yùn)行類(lèi)似，但是記錄所有指令以及寄存器變化。并且會(huì)自動(dòng)進(jìn)入所有的
CALL中。
“Track over”和“Track into”類(lèi)似，但是不進(jìn)入CALL
“+”用來(lái)顯示TRACK緩沖區(qū)中的下一條指令
“-”用來(lái)顯示TRACK緩沖區(qū)中的上一條指令
“*”用來(lái)發(fā)返回當(dāng)前指令

6、不是技巧的技巧
當(dāng)你遇到花指令的時(shí)候一定會(huì)很頭痛。但是如果你用OD進(jìn)行分析的時(shí)候就會(huì)輕松得多。
OD會(huì)自動(dòng)標(biāo)識(shí)出無(wú)效指令，即花指令。如果OD沒(méi)有正確識(shí)別，你還可以用CTRL+↑/↓來(lái)單個(gè)
字節(jié)的移動(dòng)。可以很有效的識(shí)別出花指令的所在。

后記
本人腦袋不太好使，一時(shí)記不起所有內(nèi)容，以后想起來(lái)再貼。轉(zhuǎn)貼時(shí)請(qǐng)保持本文的完整。

(編輯：天命孤獨(dú))