[原创]ollyhelper 1.3-OllyDbg插件区-看雪-安全社区|安全招聘|kanxue.com

[原创]ollyhelper 1.3

发表于: 2005-3-7 10:59 22636

[原创]ollyhelper 1.3

goldenegg

2005-3-7 10:59

22636

ollyhelper是一个ollydbg插件，它能完成一些辅助性的功能，
比如去除debug位，有了它其实就不用isdebug插件了。

最初我是看技术上isdebug插件用新建thread加sleep的方式来禁止debug位不爽，才想到要开发这个插件的。ollyhelper去除是在最必要的时候。

菜单说明：
set bit: 设置debug位，这样被调试程序能用isdebugpresent函数查到调试器
clear bit: 置debug位为0,被调试程序不能用isdebugpresent函数查到调试器
(注：现在对调试位的修改应该是支持xpsp2的)
options: 一些选项，比如是否在进程开始的时候自动清除调试位,以及要在哪些dll的dllmain里断下来。
alloc memory: 分配内存，如果要临时写一些代码或数据，可以不用找程序的空隙了，用allocmemory分配的内存吧，它肯定是属于你的！
insert dll: 插入dll到目标进程，可以自写dll配合自己的调试。
notes: 调用记事本打开一个固定文件，要写点什么可以写在里面。
detach: 在xp或win2k3上调用DebugActiveProcessStop函数停止调试，使被调试程序继续运行
delete udds: 删除udd文件。
about: 显示关于信息。
另外：选项里的break on dlls是很好用的功能，比如你想中断在foo.dll的入口处，你直接调试这个dll,因为ollydbg有bug，不一定能做到中断在入口处，但你在选项里加上foo.dll，就一定能中断在入口处，对于调试dll是很有帮助的。

除了alloc memory,insert dll,detach(?)，其它的功能都有别的插件可以实现，我为了自己用着方便，这些功能是慢慢写出来的，其实那些小功能的实现可能比找一个插件更容易，所以我这样做并不觉得有重复造轮子之嫌。也许大家认为用专门的插件更好一点，不过自认为alloc memory,insert dll和break on dlls的功能是很诱人的。

附件:OllyHelper.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#OllyDbg 1.x

收藏・2

免费・7

支持

最新回复 (20)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼能否把UnhandledExceptionFilter插件的功能作为一个选项集成进来 2005-3-7 11:03 0
warshon 雪币： 191 活跃值： (205) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 112 粉丝 0 关注私信	warshon 6 3 楼感谢发布！！ 2005-3-7 11:07 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 4 楼支持继续开发 2005-3-7 11:07 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 5 楼另外：选项里的break on dlls是很好用的功能，比如你想中断在foo.dll的入口处，你直接调试这个dll,因为ollydbg有bug，不一定能做到中断在入口处，但你在选项里加上foo.dll，就一定能中断在入口处，对于调试dll是很有帮助的。 ========== 请楼主举例一下. 如何操作? 2005-3-7 11:11 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 6 楼 detach: 在xp或win2k3上调用DebugActiveProcessStop函数停止调试，使被调试程序继续运行 ==== 这个功能在我的WIN2003中文企业版下出错. 我是这样操作的: 用OD载入一个程序,这个时候OD中断在EP,如果这个时候我detach,就会出错 2005-3-7 11:13 0
学习中雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 60 粉丝 0 关注私信	学习中 7 楼最初由 fly 发布能否把UnhandledExceptionFilter插件的功能作为一个选项集成进来支持 2005-3-7 11:37 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 8 楼最初由 ocsdno 发布 detach: 在xp或win2k3上调用DebugActiveProcessStop函数停止调试，使被调试程序继续运行 ==== 这个功能在我的WIN2003中文企业版下出错. ........ 请问具体如何出错？对了，detach要清除全部断点，似处还要按一下f9让它运行起来，在运行时detach. detach功能开发得比较早，现在我手头只有win2k,可惜win2k不支持这个特性，现在不能尝试。 2005-3-7 12:05 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 9 楼最初由 ocsdno 发布另外：选项里的break on dlls是很好用的功能，比如你想中断在foo.dll的入口处，你直接调试这个dll,因为ollydbg有bug，不一定能做到中断在入口处，但你在选项里加上foo.dll，就一定能中断在入口处，对于调试dll是很有帮助的。 ========== 请楼主举例一下. ........ 打开options,在下面的编辑框中输入kernel32.dll,点击add按钮，点击ok按钮。好，现在，打开notepad.exe开始调试，你会发现中断在kernel32.dll的入口处。注：本功能未在win9x下测试过。 2005-3-7 12:08 0
dyk158 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 200 粉丝 1 关注私信	dyk158 10 楼 goldenegg兄,你曾说过此插件要支持修改过的explorer.exe的话，还得改一改，不过改动不多,请问具体改动处？谢谢! 2005-3-7 12:26 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 11 楼最初由 goldenegg 发布打开options,在下面的编辑框中输入kernel32.dll,点击add按钮，点击ok按钮。好，现在，打开notepad.exe开始调试，你会发现中断在kernel32.dll的入口处。注：本功能未在win9x下测试过。那要是单独调试一个DLL呢? 2005-3-7 12:50 0
采臣·宁雪币： 154 活跃值： (221) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 12 楼好贴如美妇，我顶 2005-3-7 13:33 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 13 楼最初由 dyk158 发布 goldenegg兄,你曾说过此插件要支持修改过的explorer.exe的话，还得改一改，不过改动不多,请问具体改动处？谢谢! 好像不用改,而且不知哪位老大手快，已经加入到“Ollydbg1.1(2005.3汉化修正版) ”中去了，你重新下载就是。 2005-3-7 13:40 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 14 楼支持继续开发 2005-3-9 01:02 0
Skyer 雪币： 228 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	Skyer 2 15 楼实在感谢 OllyHelper 实在是好用！顺手啊！ 2005-3-9 01:14 0
东方弘雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 1 关注私信	东方弘 16 楼 98下不成功。 2005-3-9 15:00 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 17 楼最初由东方弘发布 98下不成功。我实在想不出到现在为止还有什么理由去用98? 2005-3-9 15:15 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 18 楼 goldenegg,爱死你了能不能送我一份源代码阿 2005-3-10 22:06 0
yfl 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	yfl 19 楼精品不能错过，感谢楼主分享！ 2012-5-3 02:22 0
hjm 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	hjm 20 楼谢谢提供,支持进一步开发! 2012-5-3 15:02 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 21 楼下载看看多谢LZ 2012-11-25 11:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

goldenegg

发帖

207

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼能否把UnhandledExceptionFilter插件的功能作为一个选项集成进来 2005-3-7 11:03 0
warshon 雪币： 191 活跃值： (205) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 112 粉丝 0 关注私信	warshon 6 3 楼感谢发布！！ 2005-3-7 11:07 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 4 楼支持继续开发 2005-3-7 11:07 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 5 楼另外：选项里的break on dlls是很好用的功能，比如你想中断在foo.dll的入口处，你直接调试这个dll,因为ollydbg有bug，不一定能做到中断在入口处，但你在选项里加上foo.dll，就一定能中断在入口处，对于调试dll是很有帮助的。 ========== 请楼主举例一下. 如何操作? 2005-3-7 11:11 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 6 楼 detach: 在xp或win2k3上调用DebugActiveProcessStop函数停止调试，使被调试程序继续运行 ==== 这个功能在我的WIN2003中文企业版下出错. 我是这样操作的: 用OD载入一个程序,这个时候OD中断在EP,如果这个时候我detach,就会出错 2005-3-7 11:13 0
学习中雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 60 粉丝 0 关注私信	学习中 7 楼最初由 fly 发布能否把UnhandledExceptionFilter插件的功能作为一个选项集成进来支持 2005-3-7 11:37 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 8 楼最初由 ocsdno 发布 detach: 在xp或win2k3上调用DebugActiveProcessStop函数停止调试，使被调试程序继续运行 ==== 这个功能在我的WIN2003中文企业版下出错. ........ 请问具体如何出错？对了，detach要清除全部断点，似处还要按一下f9让它运行起来，在运行时detach. detach功能开发得比较早，现在我手头只有win2k,可惜win2k不支持这个特性，现在不能尝试。 2005-3-7 12:05 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 9 楼最初由 ocsdno 发布另外：选项里的break on dlls是很好用的功能，比如你想中断在foo.dll的入口处，你直接调试这个dll,因为ollydbg有bug，不一定能做到中断在入口处，但你在选项里加上foo.dll，就一定能中断在入口处，对于调试dll是很有帮助的。 ========== 请楼主举例一下. ........ 打开options,在下面的编辑框中输入kernel32.dll,点击add按钮，点击ok按钮。好，现在，打开notepad.exe开始调试，你会发现中断在kernel32.dll的入口处。注：本功能未在win9x下测试过。 2005-3-7 12:08 0
dyk158 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 200 粉丝 1 关注私信	dyk158 10 楼 goldenegg兄,你曾说过此插件要支持修改过的explorer.exe的话，还得改一改，不过改动不多,请问具体改动处？谢谢! 2005-3-7 12:26 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 11 楼最初由 goldenegg 发布打开options,在下面的编辑框中输入kernel32.dll,点击add按钮，点击ok按钮。好，现在，打开notepad.exe开始调试，你会发现中断在kernel32.dll的入口处。注：本功能未在win9x下测试过。那要是单独调试一个DLL呢? 2005-3-7 12:50 0
采臣·宁雪币： 154 活跃值： (221) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 12 楼好贴如美妇，我顶 2005-3-7 13:33 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 13 楼最初由 dyk158 发布 goldenegg兄,你曾说过此插件要支持修改过的explorer.exe的话，还得改一改，不过改动不多,请问具体改动处？谢谢! 好像不用改,而且不知哪位老大手快，已经加入到“Ollydbg1.1(2005.3汉化修正版) ”中去了，你重新下载就是。 2005-3-7 13:40 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 14 楼支持继续开发 2005-3-9 01:02 0
Skyer 雪币： 228 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	Skyer 2 15 楼实在感谢 OllyHelper 实在是好用！顺手啊！ 2005-3-9 01:14 0
东方弘雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 1 关注私信	东方弘 16 楼 98下不成功。 2005-3-9 15:00 0
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 17 楼最初由东方弘发布 98下不成功。我实在想不出到现在为止还有什么理由去用98? 2005-3-9 15:15 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 18 楼 goldenegg,爱死你了能不能送我一份源代码阿 2005-3-10 22:06 0
yfl 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	yfl 19 楼精品不能错过，感谢楼主分享！ 2012-5-3 02:22 0
hjm 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	hjm 20 楼谢谢提供,支持进一步开发! 2012-5-3 15:02 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 21 楼下载看看多谢LZ 2012-11-25 11:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复