[原创]写插件让OD像IDA那样代码高亮(开源)-OllyDbg插件区-看雪-安全社区|安全招聘|kanxue.com

[原创]写插件让OD像IDA那样代码高亮(开源)

发表于: 2011-2-25 19:25 25964

[原创]写插件让OD像IDA那样代码高亮(开源)

DbgDream

2011-2-25 19:25

25964

想必各位都有这样的经历,在调试某些不太方便用IDA静态分析的代码时,看多了OD的各种ebp+和esp+,
会无比怀念IDA的高亮和修改符号名的功能,找了一下,好像目前还没有好用的OD高亮插件
那么,我们自己动手写一个吧

原理很简单,Hook OD的打印函数,Hook TextOut用来做屏幕取词,然后修改当前鼠标点击字符的颜色就完了
附件中的代码没有做修改符号名的功能,大家有兴趣可以自己改一改~

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

RAsmDbgPlugin_bin.rar （23.93kb，613次下载）
RAsmDbgPlugin_src.rar （282.73kb，721次下载）

收藏・32

免费・7

支持

最新回复 (35) 1 2 ▶
patapon 雪币： 695 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 128 粉丝 0 关注私信	patapon 4 2 楼沙发,感谢lz发布好东西 2011-2-25 19:47 0
KooJiSung 雪币： 357 活跃值： (3403) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 3 楼 tmpHookInfo.dwApiOffset = 0x77EF808B; 你的硬编码... 2011-2-25 20:42 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 4 楼多谢分享。。。 2011-2-25 21:55 0
zanjero 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	zanjero 5 楼很好我收藏了 2011-2-25 22:01 0
bushimajia 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	bushimajia 6 楼好东西，感谢LZ 2011-2-25 22:01 0
jimxy 雪币： 8768 活跃值： (2559) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	jimxy 1 7 楼不错，顶一下！ 2011-2-26 19:03 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 8 楼请问一下,这个怎么用的? 我点了 start ,看着汇编出来的代码也没有什么改变, 然后又好好的看了一下源代码,还是没有能解决希望回复一下 2011-2-26 21:05 0
RAsmDbg 雪币： 317 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	RAsmDbg 1 9 楼 Find in File -> 搜索0x77EF808B 这是XP sp3的TexOutW+5地址处,你要修改成自己系统上的正确地址然后在CAnalyWord::HookExtTextOutW函数内将 mov edi, edi push ebp mov ebp, esp 这三句代码改成你自己系统上的TextOutW入口代码在写插件的时候因为只是给自己和同事用,为了方便直接硬编了,没有考虑兼容性 2011-2-26 23:33 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 10 楼呵呵不错不错，不过还得建议下楼主做个修改版，搞一下兼容性。 2011-2-27 00:23 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼多谢您的回复,我的电脑也是 SP3 的 77EF808B 这地址应该没问题 77EF8086 GDI32.ExtTextOutW $ 8BFF mov edi, edi 77EF8088 . 55 push ebp 77EF8089 . 8BEC mov ebp, esp 77EF808B . 83EC 18 sub esp, 18 77EF808E . 56 push esi 但是就是不成功, 偶尔有一次成功了,看到标识的颜色了再是,再重启一下OD,就再也不能成功我又将代码编译了编译,加了些调试,可惜还是还能成功, 搞了好几个小时,原因始终找不着还有什么地方可能导致这样的状况呢? 2011-2-27 01:46 0
RAsmDbg 雪币： 317 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	RAsmDbg 1 12 楼将其他插件移除,不要使用修改版OD 再测试一下看看 CHighLight::DefhookDraw这个函数是Hook OD打印的回调函数,你可以调一下看看 2011-2-27 02:36 0
airbar 雪币： 8719 活跃值： (2085) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 166 粉丝 0 关注私信	airbar 13 楼不错，谢谢！ 2011-2-28 12:42 0
龙组雪币： 174 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	龙组 1 14 楼这样做也太麻烦了 2011-2-28 13:12 0
rerefrancd 雪币： 314 活跃值： (271) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 153 粉丝 5 关注私信	rerefrancd 1 15 楼加载OD直接挂了 2011-2-28 15:41 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 16 楼呵呵获取下函数的基值在hook吗 2011-2-28 15:56 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼试试！！ 2011-2-28 18:52 0
hyp 雪币： 371 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 137 粉丝 0 关注私信	hyp 18 楼 Find in File -> 搜索0x77EF808B 代码改成tmpHookInfo.dwApiOffset = (DWORD)tmpHookInfo.lpWinApiProc+5; 编译,win7下测试成功~ 2011-3-1 14:09 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 19 楼这个插件非常好,希望可以更新下硬编码问题,收藏! 2011-3-1 16:28 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 20 楼 call push jcc 这样后面的地址不能识别? 2011-3-1 16:44 0
魏彬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 104 粉丝 0 关注私信	魏彬 21 楼不错，谢谢！ 2011-3-1 19:07 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 22 楼期待兼容版... 2011-3-1 20:34 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 23 楼好东西。下来学习且应用。 2011-3-2 08:01 0
Kisesy 雪币： 6525 活跃值： (3393) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 24 楼不错的插件支持 2011-3-15 18:07 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 25 楼直接使用楼主提供的dll, od一起动就报错退出。后将analyWord.cpp中81行改为 tmpHookInfo.dwApiOffset = (DWORD)((unsigned char*)tmpHookInfo.lpWinApiProc + 5) 编译,win xp下测试成功~ 为方便其他人使用，附上修改后的代码和编译出来的dll。上传的附件： RAsmDbgPlugin.bin.rar （24.47kb，109次下载） RAsmDbgPlugin_src.rar （221.53kb，67次下载） 2011-4-13 02:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

DbgDream

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
patapon 雪币： 695 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 128 粉丝 0 关注私信	patapon 4 2 楼沙发,感谢lz发布好东西 2011-2-25 19:47 0
KooJiSung 雪币： 357 活跃值： (3403) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 3 楼 tmpHookInfo.dwApiOffset = 0x77EF808B; 你的硬编码... 2011-2-25 20:42 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 4 楼多谢分享。。。 2011-2-25 21:55 0
zanjero 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	zanjero 5 楼很好我收藏了 2011-2-25 22:01 0
bushimajia 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	bushimajia 6 楼好东西，感谢LZ 2011-2-25 22:01 0
jimxy 雪币： 8768 活跃值： (2559) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	jimxy 1 7 楼不错，顶一下！ 2011-2-26 19:03 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 8 楼请问一下,这个怎么用的? 我点了 start ,看着汇编出来的代码也没有什么改变, 然后又好好的看了一下源代码,还是没有能解决希望回复一下 2011-2-26 21:05 0
RAsmDbg 雪币： 317 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	RAsmDbg 1 9 楼 Find in File -> 搜索0x77EF808B 这是XP sp3的TexOutW+5地址处,你要修改成自己系统上的正确地址然后在CAnalyWord::HookExtTextOutW函数内将 mov edi, edi push ebp mov ebp, esp 这三句代码改成你自己系统上的TextOutW入口代码在写插件的时候因为只是给自己和同事用,为了方便直接硬编了,没有考虑兼容性 2011-2-26 23:33 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 10 楼呵呵不错不错，不过还得建议下楼主做个修改版，搞一下兼容性。 2011-2-27 00:23 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼多谢您的回复,我的电脑也是 SP3 的 77EF808B 这地址应该没问题 77EF8086 GDI32.ExtTextOutW $ 8BFF mov edi, edi 77EF8088 . 55 push ebp 77EF8089 . 8BEC mov ebp, esp 77EF808B . 83EC 18 sub esp, 18 77EF808E . 56 push esi 但是就是不成功, 偶尔有一次成功了,看到标识的颜色了再是,再重启一下OD,就再也不能成功我又将代码编译了编译,加了些调试,可惜还是还能成功, 搞了好几个小时,原因始终找不着还有什么地方可能导致这样的状况呢? 2011-2-27 01:46 0
RAsmDbg 雪币： 317 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	RAsmDbg 1 12 楼将其他插件移除,不要使用修改版OD 再测试一下看看 CHighLight::DefhookDraw这个函数是Hook OD打印的回调函数,你可以调一下看看 2011-2-27 02:36 0
airbar 雪币： 8719 活跃值： (2085) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 166 粉丝 0 关注私信	airbar 13 楼不错，谢谢！ 2011-2-28 12:42 0
龙组雪币： 174 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	龙组 1 14 楼这样做也太麻烦了 2011-2-28 13:12 0
rerefrancd 雪币： 314 活跃值： (271) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 153 粉丝 5 关注私信	rerefrancd 1 15 楼加载OD直接挂了 2011-2-28 15:41 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 16 楼呵呵获取下函数的基值在hook吗 2011-2-28 15:56 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼试试！！ 2011-2-28 18:52 0
hyp 雪币： 371 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 137 粉丝 0 关注私信	hyp 18 楼 Find in File -> 搜索0x77EF808B 代码改成tmpHookInfo.dwApiOffset = (DWORD)tmpHookInfo.lpWinApiProc+5; 编译,win7下测试成功~ 2011-3-1 14:09 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 19 楼这个插件非常好,希望可以更新下硬编码问题,收藏! 2011-3-1 16:28 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 20 楼 call push jcc 这样后面的地址不能识别? 2011-3-1 16:44 0
魏彬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 104 粉丝 0 关注私信	魏彬 21 楼不错，谢谢！ 2011-3-1 19:07 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 22 楼期待兼容版... 2011-3-1 20:34 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 23 楼好东西。下来学习且应用。 2011-3-2 08:01 0
Kisesy 雪币： 6525 活跃值： (3393) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 24 楼不错的插件支持 2011-3-15 18:07 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 25 楼直接使用楼主提供的dll, od一起动就报错退出。后将analyWord.cpp中81行改为 tmpHookInfo.dwApiOffset = (DWORD)((unsigned char*)tmpHookInfo.lpWinApiProc + 5) 编译,win xp下测试成功~ 为方便其他人使用，附上修改后的代码和编译出来的dll。上传的附件： RAsmDbgPlugin.bin.rar （24.47kb，109次下载） RAsmDbgPlugin_src.rar （221.53kb，67次下载） 2011-4-13 02:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复