首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
ollydbg应用心得
发表于: 2004-10-13 17:20 5682

ollydbg应用心得

orchid88 活跃值
2004-10-13 17:20
5682
od的ctrl+f寻找指令功能非常之好用,例如我们分析一个从405678开始的子程序(function)功能是注册功能,如下:
40????  call 405678;计算注册码
40????  test eax,eax
40????   jz  正确的流程
程序可能有好几处同样的判断,怎么找呢?od的ctrl +f 非常好用,按ctrl+f
输入call 405678,即可找到下一个地方, ctrl+L寻找下一处。
od还有替代查找功能,比如我们知道程序未注册限制打印20页,则我们判断程序某处应该由此判断语句,即:cmp R32,14 (0x14即20,R32代表32位寄存器),结果果然成功找到几处cmp ecx,14的地方,经测试,果然为限制打印次数的地方。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (9)
lzqgj
雪    币: 280
活跃值: (281)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
2
第一次见,有收获。
2004-10-13 22:35
0
jackily
雪    币: 265
活跃值: (430)
能力值: ( LV9,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢,学了一招。
2004-10-18 13:53
0
noNaMe-mOnk
雪    币: 218
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
受教了
2004-10-22 20:42
0
auser
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
高!还可以这样用!
cmp r32,14
2004-10-24 21:28
0
jaray
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
现在还不会,在学
2004-10-24 23:49
0
dirty62
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
我也是学到了
2004-10-25 12:31
0
doskey
雪    币: 329
活跃值: (343)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
8
你转到405678处,选择这个CALL的第一个语句,下面的窗口会有显示“JMP FROM XXXXXXX”或者“LOCAL CALL FROM XXXXXX”,这里就是调用这个CALL的所有地址,在那行上点又键,就可以直接转到调用处。OLLYDBG本来就有这种功能。:))
2004-10-25 12:44
0
xuanyuanhaobo
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
今天可以写心得体会了
2004-10-25 17:55
0
xiluoyou
雪    币: 241
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
最初由 auser 发布
高!还可以这样用!
cmp r32,14

确实利害
2004-10-25 20:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//