[原创]OD LUA 插件-OllyDbg插件区-看雪-安全社区|安全招聘|kanxue.com

[原创]OD LUA 插件

发表于: 2012-4-10 18:32 40711

[原创]OD LUA 插件

jasonnbfan 活跃值

2012-4-10 18:32

40711

上个帖子发错地方了，发这里比较合适.

最近迷上了lua,简单，高效，几乎能做任何c/c++可以实现的功能，边学边实践，就萌发了写lua插件的想法。
目前插件DLL部分基本不需要再修改，需要其他功能自己写脚本就可以，或者提出有好想法我也可以帮忙实现。

插件下载:更新日期2012-4-11
LuaPlugindev.rar

基本介绍：
核心脚本在LuaScripts\init目录内，可自行修改。
用luajit从OD导出表获取API,可实现C版本插件所有功能。
使用lua简化开发步骤，虽然没有深度封装API，但使用脚本开发的好处是不言而喻的。

字符串查询脚本：
1.写了个查询字符串的例子，包括显示窗口和弹出菜单，给想写插件的朋友一个参考。
2.找出的字符串，可以用lua的匹配模式进一步查找.
看图，左边是查询出的字符串，右边log窗口是查找包含”Olly“字符的结果窗口。

添加脚本:
保存断点和恢复断点 SaveLoadBreakPoint.lua
断点保存表默认文件名为当前调试进程名，保存在OD目录内。
读取断点默认读取当前进程名的.breakpoint文件。

搜索汇编代码：
FindAsmCode.lua 脚本先输入dofile("OD全路径/FindAsmCode.lua") 加载初始化，然后执行。

搜索所有包含 "fs:"字符的代码，结果显示在log文件。

硬件条件断点:
添加了ODBG_Pausedex 回调函数,可对断下后的数据进行条件判断，下面是硬件条件断点的例子。

但是有个小问题，每次断下的时候OD会刷新CPU窗口各种数据，造成速度很慢，但是吧OD最小化就没有速度影响了。
看Plugin API里没有关于让OD停止刷新窗口数据的方法，有这方面经验的朋友请指教下。

--硬件断点事件
function OnHWBREAK(reason,extdata,reg,debgevent)
	if ret ~= 0 then
		local treg = ffi.cast("t_reg *",reg)
		if treg then
			local Msg = Expression("DWORD [esp + 08]")
			local Key = Expression("DWORD [esp + 0C]")
			if Msg == WM_KEYDOWN then
				Od.Addtolist(treg.ip,1,string.format("硬件断点键盘按下 = %s",string.char(Key)))
				return 0
			else
				--F9运行
				Od.Sendshortcut(0,0,WM_KEYDOWN,0,0,0x78)
				return 1
			end
		end
	end
end

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

无标题.jpg （436.53kb，359次下载）
LuaPlugindev.rar （235.98kb，740次下载）
1.jpg （112.70kb，52次下载）
硬件断点.jpg （342.41kb，53次下载）

收藏・37

免费・0

支持

最新回复 (43) 1 2 ▶
FishSeeWater 雪币： 768 活跃值： (530) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 2 楼好,赞赏~!! 2012-4-10 19:04 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 3 楼这 lua 玩得确实太牛了 2012-4-10 23:30 0
china 雪币： 3652 活跃值： (4217) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 4 楼膜拜啊，收藏了，期待出更多作品。 2012-4-10 23:41 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 5 楼 LUA还可以这么用长见识 2012-4-11 10:07 0
我是土匪雪币： 546 活跃值： (1621) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 6 楼非常好，喜欢这个插件啊。 od加载程序出错啊上传的附件： QQ截图20120411113030.jpg （44.68kb，25次下载） 2012-4-11 10:51 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 7 楼 [QUOTE=我是土匪;1062758]非常好，喜欢这个插件啊。 od加载程序出错啊 [/QUOTE] sorry 请下新版本修改了这个问题。 2012-4-11 14:36 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 8 楼谢谢了学习下lua 2012-4-12 01:07 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼膜拜+谢谢。不懂Lua 2012-4-12 02:35 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 10 楼 attempt to call a nil value 我用的版本是0llyICE v1.10 32-bit Assembler- 2012-4-12 08:11 0
天法道雪币： 506 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 11 楼好啊。楼主。 2012-4-12 08:20 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 12 楼谢谢楼主啊= = 2012-4-12 08:23 0
siluplsy 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	siluplsy 13 楼收下，3qs a lot!! 正想写插件，略懂lua 2012-4-13 15:01 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 14 楼我下的已经是新版本了的，为啥还是报attempt to call a nil value，我用的是0llyICE。 2012-4-13 17:04 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 15 楼启动的时候报错？给个图，看看详细。 2012-4-13 17:12 0
唯一色彩雪币： 212 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 16 楼这个支持OD 2.01 么？ 2012-4-17 20:10 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 17 楼呵呵出现这个问题的原因是没有放对目录，直接把最新版解压到当前目录就行 plugin 和 LuaScripts 目录要放到OD的根目录里面，也就是同级的 2012-4-17 20:32 0
guobing 雪币： 10990 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 18 楼有那么点小猛，真狠刚学lua～· 2012-4-17 21:00 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 19 楼不懂lua 2012-4-17 21:47 0
guleji 雪币： 6131 活跃值： (984) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	guleji 20 楼貌似新版的FindString.lua脚本不正常用8号那个版本的FindString.lua就正常 2012-4-18 06:01 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 21 楼终于明白 LuaScripts 这个目录也是要挎过去的。谢谢楼上几位。 2012-4-18 13:42 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 22 楼 lz，你可以研究一下，使用跟踪技术，不要读一句就让它调用PauseEx回调函数，跟踪是设置步长的，比如设为10000条语句调用一次PauseEx回调 2012-4-18 20:47 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 23 楼支持.dingqi 2012-4-18 22:22 0
星辰雪币： 275 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	星辰 24 楼残念！完全不会用＝＝执行文件跟执行脚本的区别跟用法谁可以说说阿！ 2012-5-1 16:19 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 25 楼赞，好谢谢分享 2012-5-17 22:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jasonnbfan

发帖

265

回帖

330

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) 1 2 ▶
FishSeeWater 雪币： 768 活跃值： (530) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 2 楼好,赞赏~!! 2012-4-10 19:04 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 3 楼这 lua 玩得确实太牛了 2012-4-10 23:30 0
china 雪币： 3652 活跃值： (4217) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 4 楼膜拜啊，收藏了，期待出更多作品。 2012-4-10 23:41 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 5 楼 LUA还可以这么用长见识 2012-4-11 10:07 0
我是土匪雪币： 546 活跃值： (1621) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 6 楼非常好，喜欢这个插件啊。 od加载程序出错啊上传的附件： QQ截图20120411113030.jpg （44.68kb，25次下载） 2012-4-11 10:51 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 7 楼 [QUOTE=我是土匪;1062758]非常好，喜欢这个插件啊。 od加载程序出错啊 [/QUOTE] sorry 请下新版本修改了这个问题。 2012-4-11 14:36 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 8 楼谢谢了学习下lua 2012-4-12 01:07 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼膜拜+谢谢。不懂Lua 2012-4-12 02:35 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 10 楼 attempt to call a nil value 我用的版本是0llyICE v1.10 32-bit Assembler- 2012-4-12 08:11 0
天法道雪币： 506 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 11 楼好啊。楼主。 2012-4-12 08:20 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 12 楼谢谢楼主啊= = 2012-4-12 08:23 0
siluplsy 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	siluplsy 13 楼收下，3qs a lot!! 正想写插件，略懂lua 2012-4-13 15:01 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 14 楼我下的已经是新版本了的，为啥还是报attempt to call a nil value，我用的是0llyICE。 2012-4-13 17:04 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 15 楼启动的时候报错？给个图，看看详细。 2012-4-13 17:12 0
唯一色彩雪币： 212 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 16 楼这个支持OD 2.01 么？ 2012-4-17 20:10 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 17 楼呵呵出现这个问题的原因是没有放对目录，直接把最新版解压到当前目录就行 plugin 和 LuaScripts 目录要放到OD的根目录里面，也就是同级的 2012-4-17 20:32 0
guobing 雪币： 10990 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 18 楼有那么点小猛，真狠刚学lua～· 2012-4-17 21:00 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 19 楼不懂lua 2012-4-17 21:47 0
guleji 雪币： 6131 活跃值： (984) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	guleji 20 楼貌似新版的FindString.lua脚本不正常用8号那个版本的FindString.lua就正常 2012-4-18 06:01 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 21 楼终于明白 LuaScripts 这个目录也是要挎过去的。谢谢楼上几位。 2012-4-18 13:42 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 22 楼 lz，你可以研究一下，使用跟踪技术，不要读一句就让它调用PauseEx回调函数，跟踪是设置步长的，比如设为10000条语句调用一次PauseEx回调 2012-4-18 20:47 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 23 楼支持.dingqi 2012-4-18 22:22 0
星辰雪币： 275 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	星辰 24 楼残念！完全不会用＝＝执行文件跟执行脚本的区别跟用法谁可以说说阿！ 2012-5-1 16:19 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 25 楼赞，好谢谢分享 2012-5-17 22:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复