目的：用OllDbg中断在dll的入口
一、编写plugin :
1.        DllEntryPoint如图：

2．ODBG_Plugininit如图：新启一个线程，由此线程的函数WinMain创建一个（隐藏）窗口。

3．窗口回调函数如图：

至此，plugin设计完成，它所起的作用是：
1．        当得到WM_USER消息时返回dll入口地址（在MyLdrpCallInitRoutine中）
2．        当得到WM_USER＋1消息时在wParam指示的地址（就是你调试点dll入口点）设置临时断点（Tempbreakpoint）。

二、        在dll的加载进程中与plugin通讯。
    为此，可以写一个加载程序（就好像DLL_Loader），我这里选择diy llyDbg配套的loaddll.exe，因为只有它可与OD“无缝对接”。用LordPE打开程序看看结构，当看到它的ExportTable时，感觉实在妙！下面是其截图：

    每个导出函数名称叫人看了都如此受用，特别是PatchArea！Oleh Yuschuk为我们考虑得实在周到。Thanks
Diy 过程：
1．        把ImportTable中的GetCommandLineA改成GetProcAddress
2．        Patch

   为：

并在Patcharea（410298）处键入：

以完成原语句的功能。这里程序中原来没有的字符串（如“GetCommandLineA”）等在data区或rsrc区段空白处录入。
3．Patch

为 call  4102B5，并在4102B5开始写入如下代码：



以上代码完成的主要任务是hook dll entrypoint，当程序查到入口处是调试点dll oep 时通知plugin设置断点，使OllyDbg中断在那里，这样我们可以少飞许多手脚。

btw：
Fly说“不是”。这里算是一篇“是”的说明吧。

http://bbs.pediy.com/showthread.php?s=&threadid=16082

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)