OllyICE⼊门教程OllyICE使⽤实例教程初学必备
ollyice是⼀款Windows平台下知名的反汇编软件,⽬前已经代替SoftICE成为当今最为流⾏的调试解密⼯具之⼀,同
时,ollyice还⽀持插件扩展功能,最擅长分析函数过程、循环语句、选择语句、表、常量、代码中的字符串、欺骗性指令、API调⽤、函数中参数的数⽬和import表等等,这些分析增加了⼆进制代码的可读性,减少了出错的可能性,使得我们的调试⼯作更加容易。需要的朋友们可以下载试试!
烤鸡腿的做法需要说明的是,由于OllyDBG 1.1官⽅以不再更新,故⼀些爱好者对OllyDBG修改,以新增⼀些功能或修正⼀些bug,OllyICE 就是其中的⼀个修改版,取名OllyICE只是便于区分,其实质还是OllyDBG,本站为⼤家提供的就是ollyice v1.10绿⾊中⽂版,软件已经绿⾊,确保⽆毒,对中⽂的⽀持⽐较好。
ollyice(反汇编⼯具) v1.10 中⽂免费绿⾊版
于途因为英雄池深类型:反编译
⼤⼩:4.73MB
葡萄籽油的功效与作用语⾔:简体中⽂
时间:2016-08-16
查看详情
⼀、OllyDBG 的安装与配置
轻蔑的反义词是什么OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到⼀个⽬录下,运⾏ 就可以了。版的发布版本是个 RAR 压缩包,同样只需解压到⼀个⽬录下运⾏ 即可:
OllyDBG 中各个窗⼝的功能如上图。简单解释⼀下各个窗⼝的功能,更详细的内容可以参考 TT ⼩组翻译的中⽂帮助:
反汇编窗⼝:显⽰被调试程序的反汇编代码,标题栏上的地址、HEX 数据、反汇编、注释可以通过在窗⼝中右击出现的菜
单界⾯选项->隐藏标题或显⽰标题来进⾏切换是否显⽰。⽤⿏标左键点击注释标签可以切换注释显⽰的⽅式。
寄存器窗⼝:显⽰当前所选线程的 CPU 寄存器内容。同样点击标签寄存器 (FPU) 可以切换显⽰寄存器的⽅式。
信息窗⼝:显⽰反汇编窗⼝中选中的第⼀个命令的参数及⼀些跳转⽬标地址、字串等。
数据窗⼝:显⽰内存或⽂件的内容。右键菜单可⽤于切换显⽰⽅式。
堆栈窗⼝:显⽰当前线程的堆栈。
要调整上⾯各个窗⼝的⼤⼩的话,只需左键按住边框拖动,等调整好了,重新启动⼀下 OllyDBG 就可以⽣效了。
启动后我们要把插件及 UDD 的⽬录配置为绝对路径,点击菜单上的选项->界⾯,将会出来⼀个界⾯选项的对话框,我们点击其中的⽬录标签:
因为我这⾥是把 OllyDBG 解压在 F:\OllyDBG ⽬录下,所以相应的 UDD ⽬录及插件⽬录按图上配置。还有⼀个常⽤到的标签就是上图后⾯那个字体,在这⾥你可以更改 OllyDBG 中显⽰的字体。上图中其它的选项可以保留为默认,若有需要也可以⾃⼰修改。修改完以后点击确定,弹出⼀个对话框,说我们更改了插件路径,要重新启动 OllyDBG。在这个对话框上点确定,重新启动⼀下 OllyDBG,我们再到界⾯选项中看⼀下,会发现我们原先设置好的路径都已保存了。有⼈可能知道插件的作⽤,但对那个 UDD ⽬录不清楚。我这简单解释⼀下:这个 UDD ⽬录的作⽤是保存你调试的⼯作。⽐如你调试⼀个软件,设置了断点,添加了注释,⼀次没做完,这时 OllyDBG 就会把你所做的⼯作保存到这个 UDD ⽬录,以便你下次调试时可以继续以前的⼯作。如果不设置这个 UDD ⽬录,OllyDBG 默认是在其安装⽬录下保存这些后缀名为 udd 的⽂件,时间长了就会显的很乱,所以还是建议专门设置⼀个⽬录来保存这些⽂件。
另外⼀个重要的选项就是调试选项,可通过菜单选项->调试设置来配置:
新⼿⼀般不需更改这⾥的选项,默认已配置好,可以直接使⽤。建议在对 OllyDBG 已⽐较熟的情况下再来进⾏配置。上⾯那个异常标签中的选项经常会在脱壳中⽤到,建议在有⼀定调试基础后学脱壳时再配置这⾥。
除了直接启动 OllyDBG 来调试外,我们还可以把 OllyDBG 添加到资源管理器右键菜单,这样我们就可以直接
在 .exe 及 .dll ⽂件上点右键选择“⽤Ollydbg打开”菜单来进⾏调试。要把 OllyDBG 添加到资源管理器右键菜单,只需点菜单选项->添加到浏览器,将会出现⼀个对话框,先点击“添加 Ollydbg 到系统资源管理器菜单”,再点击“完成”按钮即可。要从右键菜单中删除也很简单,还是这个对话框,点击 “从系统资源管理器菜单删除 Ollydbg”,再点击“完成”就⾏了。
OllyDBG ⽀持插件功能,插件的安装也很简单,只要把下载的插件(⼀般是个 DLL ⽂件)复制到 OllyDBG 安装⽬录下
的 PLUGIN ⽬录中就可以了,OllyDBG 启动时会⾃动识别。要注意的是 OllyDBG 1.10 对插件的个数有限制,最多不能超
过 32 个,否则会出错。建议插件不要添加的太多。
到这⾥基本配置就完成了,OllyDBG 把所有配置都放在安装⽬录下的 ollydbg.ini ⽂件中。
⼆、基本调试⽅法
OllyDBG 有三种⽅式来载⼊程序进⾏调试,⼀种是点击菜单⽂件->打开(快捷键是 F3)来打开⼀个可执⾏⽂件进⾏调试,另⼀种是点击菜单⽂件- >附加来附加到⼀个已运⾏的进程上进⾏调试。注意这⾥要附加的程序必须已运⾏。第三种就是⽤右键菜单来载⼊程序(不知这种算不算)。⼀般情况下我们选第⼀种⽅式。⽐如我们选择⼀个 来调试,通过菜单⽂件->打开来载⼊这个程序,OllyDBG 中显⽰的内容将会是这样:
调试中我们经常要⽤到的快捷键有这些:
高速免费是按上高速时间还是下高速时间F2:设置断点,只要在光标定位的位置(上图中灰⾊条)按F2键即可,再按⼀次F2键则会删除断点。(相当于 SoftICE 中
的 F9)
生旦净末丑F8:单步步过。每按⼀次这个键执⾏⼀条反汇编窗⼝中的⼀条指令,遇到 CALL 等⼦程序不进⼊其代码。(相当
于 SoftICE 中的 F10)
F7:单步步⼊。功能同单步步过(F8)类似,区别是遇到 CALL 等⼦程序时会进⼊其中,进⼊后⾸先会停留在⼦程序的第⼀条指令上。(相当于 SoftICE 中的 F8)
F4:运⾏到选定位置。作⽤就是直接运⾏到光标所在位置处暂停。(相当于 SoftICE 中的 F7)
F9:运⾏。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运⾏。(相当于 SoftICE 中的 F5)
CTR+F9:执⾏到返回。此命令在执⾏到⼀个 ret (返回指令)指令时暂停,常⽤于从系统领空返回到我们调试的程序领空。(相当于 SoftICE 中的 F12)
ALT+F9:执⾏到⽤户代码。可⽤于从系统领空快速返回到我们调试的程序领空。(相当于 SoftICE 中的 F11)
现在我们开始正式进⼊破解。今天的⽬标程序是看雪兄《加密与解密》第⼀版附带光盘中的 crackmes.cjb 镜像打包中
的 CFF Crackme #3,采⽤⽤户名/序列号保护⽅式。原版加了个 UPX 的壳。刚开始学破解先不涉及壳的问题,我们主要是熟悉⽤ OllyDBG 来破解的⼀般⽅法。我这⾥把壳脱掉来分析,附件是脱壳后的⽂件,直接就可以拿来⽤。先说⼀下⼀般软件破解的流程:拿到⼀个软件先别接着马上⽤ OllyDBG 调
试,先运⾏⼀下,有帮助⽂档的最好先看⼀下帮助,熟悉⼀下软件的使⽤⽅法,再看看注册的⽅式。如果是序列号⽅式可以先输个假的来试⼀下,看看有什么反应,也给我们破解留下⼀些有⽤的线索。如果没有输⼊注册码的地⽅,要考虑⼀下是不是读取注册表或 Key ⽂件(⼀般称 keyfile,就是程序读取⼀个⽂件中的内容来判断是否注册),这些可以⽤其它⼯具来辅助分析。如果这些都不是,原程序只是⼀个功能不全的试⽤版,那要注册为正式版本就要⾃⼰来写代码完善了。有点跑题了,呵呵。获得程序的⼀些基本信息后,还要⽤查壳的⼯具来查⼀下程序是否加了壳,若没壳的话看看程序是什么编译器编的,如 VC、Delphi、VB 等。这样的查壳⼯具有 PEiD 和 FI。有壳的话我们要尽量脱了壳后再来⽤ OllyDBG 调试,特殊情况下也可带壳调试。下⾯进⼊正题:
我们先来运⾏⼀下这个 crackme(⽤ PEiD 检测显⽰是 Delphi 编的),界⾯如图:
这个 crackme 已经把⽤户名和注册码都输好了,省得我们动⼿^_^。我们在那个“Register now !”按钮上点击⼀下,将会跳出⼀个对话框:
好了,今天我们就从这个错误对话框中显⽰的“Wrong Serial, try again!”来⼊⼿。启动 OllyDBG,选择
菜单⽂件->打开载
⼊ ⽂件,我们会停在这⾥:
我们在反汇编窗⼝中右击,出来⼀个菜单,我们在查->所有参考⽂本字串上左键点击:
当然如果⽤上⾯那个超级字串参考+插件会更⽅便。但我们的⽬标是熟悉 OllyDBG 的⼀些操作,我就尽量使⽤ OllyDBG ⾃带的功能,少⽤插件。好了,现在出来另⼀个对话框,我们在这个对话框⾥右击,选择“查⽂本”菜单项,输
⼊“Wrong Serial, try again!”的开头单词“Wrong”(注意这⾥查内容要区分⼤⼩写)来查,到⼀处:
在我们到的字串上右击,再在出来的菜单上点击“反汇编窗⼝中跟随”,我们来到这⾥:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论