发布 Ultra String Reference v0.11-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

发布 Ultra String Reference v0.11

发表于: 2004-7-30 08:55 11833

发布 Ultra String Reference v0.11

luocong

2004-7-30 08:55

11833

+----------------------------------------------------+
+ 名称： Ultra String Reference
+ 版本： v0.11
+ 作者：罗聪
+ 日期： 2004-07-27(yyyy-mm-dd)
+----------------------------------------------------+

下载地址：http://www.luocong.com/myworks/zipped/ustrref.zip
or
点击下载:附件！ustrref.zip

[历史记录]

[2004-07-27]
0.11版。
1、修正了0.10版本中有时候会自动退出的问题。
2、增加了查找功能。注意：查找是不区分大小写的。

[2004-07-15]
0.10版。
完成最基本的模块功能：对ASCII和UNICODE编码进行分析，提取有效的简体中文、图形符号和英文符号，并记录调用行信息，可通过双击或回车进入该行所在的Disassembler窗口位置。

[简介]
Ultra String Reference 是一个 OllyDbg 的插件（Plugin），OllyDbg的串式参考（String Reference）对中文的支持比较差，有感于此，我写了这个插件，支持对 GB2312 中文的串式参考，希望可以改善这种状况。

[系统需求]
OllyDbg 1.10，否则该插件不会被装载。

[安装]
把 ustrref.dll 拷贝至 OllyDbg 主程序所在的目录下即可。

[使用方法]
第一步，用 OllyDbg 载入 PE 文件。
第二步，选择主菜单的“Plugins->Ultra String Reference”，或者右键单击并选择反汇编窗口中弹出的“Ultra String Reference”菜单，然后选择“Find ASCII”或者“Find UNICODE”。具体使用哪个请自行决定，一般来说 VB 的程序应该使用“Find UNICODE”，非 VB 的程序应该使用“Find ASCII”。

[原理]
通过对PE文件的代码段进行反汇编，找出以 push、mov、lea 开头的 3 种形式的代码。例如：
;--------------------
push [address]
;--------------------
或者
;----------------------------------------
mov [register], offset [address]
;----------------------------------------
我们知道，push 很可能是进行参数的压栈操作；mov offset 和 lea offset 则很可能是紧跟一个字符串的偏移地址。因此如果对程序进行反汇编，并进行一些相应的地址转换后，得到的就非常可能是字符串。根据多次尝试后，我最终采取的方法就是这样――对代码段进行反汇编，然后转换地址，再筛选掉没用的垃圾字符，从而找出有用的字符串。

[特点]
1、能正确找出中文字符串。
这点 OllyDbg 就无法做到，大部分的中文字符串都会被它漏掉。

2、与 OllyDbg 原有的 String Reference 功能兼容。
操作步骤和界面都是一样的，基本上不会造成使用上的困难。

[缺点]
1、有部分中文字符串不被支持。
为了尽可能地过滤垃圾字符串，目前仅支持双字节 2 区的 6763 个常用简体中文汉字（即 GB2312 标准的汉字），以及双字节 1 区和双字节 5 区的图形符号。然而对于大多数程序来说，这些常用字已经足够了。

2、会存在一定的垃圾字符串。
有部分垃圾字符串的组合编码会与 GB2312 简体中文汉字和图形符号的码位范围落在同一个区间内，这样就会导致识别错误。不过这是很难避免的，其实 W32Dasm 也存在同样的问题。

[ToDo]
对生成的串式参考字符串进行搜索。

[联系方式]
姓名：罗聪
主页：http://www.luocong.com
邮件：admin@luocong.com

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・2

支持

最新回复 (18)
aqtata 雪币： 319 活跃值： (951) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 2 楼汉化版 http://www.chinadfcg.com/viewthread.php?tid=6295 2004-7-30 09:10 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 3 楼请大家提出Bug或者改进的建议和意见，否则以后就很难更新的了。 2004-7-30 10:21 0
老伙计雪币： 817 活跃值： (2063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 4 楼下不了！请上传一个汉化版到pediy论坛 2004-7-30 13:18 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 5 楼为什么要使用汉化版？真搞不懂... 我已经上传了一个原版上来，请看顶楼的帖子内容。 2004-7-30 13:43 0
juexing 雪币： 123 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 167 粉丝 1 关注私信	juexing 6 楼这么快，行动之神速啊！ 2004-7-30 14:10 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 7 楼最初由 luocong 发布为什么要使用汉化版？真搞不懂... 我已经上传了一个原版上来，请看顶楼的帖子内容。还是原版的看着舒服~:D 2004-7-31 21:57 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 8 楼 :o 不然,中文Od用外文插件。 2004-7-31 23:28 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 9 楼最初由 David 发布 :o 不然,中文Od用外文插件。坏了...把二哥惹到了...偶跑~:D 2004-8-1 03:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼萝卜青菜，各取所好吧 ;) 英文也好、中文也好，各取所需 :D 2004-8-1 03:53 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 11 楼 This is a great tool! Very good! Thanks! 2004-8-1 13:44 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 12 楼 luocong 兄弟你好！你写的工具很不错了，希望在以后的版本会更加强大！其实在你之前已经有可以搜索中文字符串的od插件了，只不过它本身不是用来搜索中文字符的，而是用来搜索日文字符的，但还是很好用，并且开放了原代码，我也改了一个自己用。这个搜索日文字符插件的作者我们都很熟悉，我把连接放了出来，希望对luocong兄弟有所帮助。 http://dd.x-eye.net/file/j10n132108.zip 2004-8-1 15:43 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 13 楼非常感谢!加油,努力,做出更多更好的插件:D 2004-8-2 00:34 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 14 楼最初由二点发布 luocong 兄弟你好！你写的工具很不错了，希望在以后的版本会更加强大！其实在你之前已经有可以搜索中文字符串的od插件了，只不过它本身不是用来搜索中文字符的，而是用来搜索日文字符的，但还是很好用，并且开放了原代码，我也改了一个自己用。这个搜索日文字符插件的作者我们都很熟悉，我把连接放了出来，希望对luocong兄弟有所帮助。 http://dd.x-eye.net/file/j10n132108.zip 谢谢二点兄弟！这个插件不错啊！对OD直接进行patch的思路比我的方法要来得简洁很多！ 2004-8-2 00:52 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 15 楼最初由 clide2000 发布非常感谢!加油,努力,做出更多更好的插件:D 希望能提出bug或者改进的建议，谢谢。 2004-8-2 00:53 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 16 楼非常感谢 2004-8-2 09:38 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 17 楼如果可以再?一?支持繁篦字串,就更加好了! 2004-8-8 10:12 0
忧郁的蓝色雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	忧郁的蓝色 18 楼顶下 2004-11-20 10:50 0
tom88 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	tom88 19 楼我需要，顶顶 2005-4-11 16:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

luocong

发帖

275

回帖

370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
aqtata 雪币： 319 活跃值： (951) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 2 楼汉化版 http://www.chinadfcg.com/viewthread.php?tid=6295 2004-7-30 09:10 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 3 楼请大家提出Bug或者改进的建议和意见，否则以后就很难更新的了。 2004-7-30 10:21 0
老伙计雪币： 817 活跃值： (2063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 4 楼下不了！请上传一个汉化版到pediy论坛 2004-7-30 13:18 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 5 楼为什么要使用汉化版？真搞不懂... 我已经上传了一个原版上来，请看顶楼的帖子内容。 2004-7-30 13:43 0
juexing 雪币： 123 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 167 粉丝 1 关注私信	juexing 6 楼这么快，行动之神速啊！ 2004-7-30 14:10 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 7 楼最初由 luocong 发布为什么要使用汉化版？真搞不懂... 我已经上传了一个原版上来，请看顶楼的帖子内容。还是原版的看着舒服~:D 2004-7-31 21:57 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 8 楼 :o 不然,中文Od用外文插件。 2004-7-31 23:28 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 9 楼最初由 David 发布 :o 不然,中文Od用外文插件。坏了...把二哥惹到了...偶跑~:D 2004-8-1 03:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼萝卜青菜，各取所好吧 ;) 英文也好、中文也好，各取所需 :D 2004-8-1 03:53 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 11 楼 This is a great tool! Very good! Thanks! 2004-8-1 13:44 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 12 楼 luocong 兄弟你好！你写的工具很不错了，希望在以后的版本会更加强大！其实在你之前已经有可以搜索中文字符串的od插件了，只不过它本身不是用来搜索中文字符的，而是用来搜索日文字符的，但还是很好用，并且开放了原代码，我也改了一个自己用。这个搜索日文字符插件的作者我们都很熟悉，我把连接放了出来，希望对luocong兄弟有所帮助。 http://dd.x-eye.net/file/j10n132108.zip 2004-8-1 15:43 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 13 楼非常感谢!加油,努力,做出更多更好的插件:D 2004-8-2 00:34 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 14 楼最初由二点发布 luocong 兄弟你好！你写的工具很不错了，希望在以后的版本会更加强大！其实在你之前已经有可以搜索中文字符串的od插件了，只不过它本身不是用来搜索中文字符的，而是用来搜索日文字符的，但还是很好用，并且开放了原代码，我也改了一个自己用。这个搜索日文字符插件的作者我们都很熟悉，我把连接放了出来，希望对luocong兄弟有所帮助。 http://dd.x-eye.net/file/j10n132108.zip 谢谢二点兄弟！这个插件不错啊！对OD直接进行patch的思路比我的方法要来得简洁很多！ 2004-8-2 00:52 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 15 楼最初由 clide2000 发布非常感谢!加油,努力,做出更多更好的插件:D 希望能提出bug或者改进的建议，谢谢。 2004-8-2 00:53 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 16 楼非常感谢 2004-8-2 09:38 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 17 楼如果可以再?一?支持繁篦字串,就更加好了! 2004-8-8 10:12 0
忧郁的蓝色雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	忧郁的蓝色 18 楼顶下 2004-11-20 10:50 0
tom88 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	tom88 19 楼我需要，顶顶 2005-4-11 16:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复