[原创]修改OllyICE, 方便调试MFC程序-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]修改OllyICE, 方便调试MFC程序

2008-7-31 08:07 36814

[原创]修改OllyICE, 方便调试MFC程序

zrj99

2008-7-31 08:07

36814

通常在调试MFC程序时，虽然可以通过导入MFC42.lib来得到函数名称，但是默认的函数名称类似于：

在名称列表中是按序号排序的。试想如果要查找在何处调用_AfxWinMain，但是又不知道序号，要在上千个函数列表中找到，将是一项艰巨的任务。
在分析某个MFC程序时感到太累，就想了一个办法把所有带序号的名称统统转换为如下格式：

经过努力，终于实现了这个目标。

分析OllyICE代码后，发现需要修改四个地方，添加一块代码。

第一处修改：

0045CEF0    mov     ecx, dword ptr [ebp-8]    ; 改
0045CEF3    mov     byte ptr [ebp+ecx-288], 5F  ; 改

改为：

0045CEF0    jmp    004AF7C0
0045CEF5    nop
0045CEF6    nop
0045CEF7    nop
0045CEF8    nop
0045CEF9    nop
0045CEFA    nop

在004AF7C0处添加如下代码：

004AF7C0    lea     edx, dword ptr [ebp-288]
004AF7C6    inc     edx
004AF7C7    push    edx
004AF7C8    add     edx, dword ptr [ebp-8]
004AF7CB    add     edx, eax
004AF7CD    mov     byte ptr [edx], 5F
004AF7D0    inc     edx
004AF7D1    push    edx
004AF7D2    call    dword ptr [50D458]           ;  kernel32.lstrcpyA
004AF7D8    lea     edx, dword ptr [ebp-288]
004AF7DE    add     edx, dword ptr [ebp-8]
004AF7E1    inc     edx
004AF7E2    push    edx
004AF7E3    lea     edx, dword ptr [ebp-288]
004AF7E9    push    edx
004AF7EA    call    dword ptr [50D458]           ;  kernel32.lstrcpyA
004AF7F0    jmp     0045CEF5

第二处修改：

0045D3A4    lea     edx, dword ptr [ebp-488]
0045D3AA    lea     eax, dword ptr [ebp-388]
0045D3B0    push    edx
0045D3B1    lea     edx, dword ptr [ebp-288]
0045D3B7    mov     ecx, dword ptr [ebp-3C]
0045D3BA    push    ecx
0045D3BB    push    eax
0045D3BC    push    004BC07B                     ;  ASCII "%s.#%i_%s"
0045D3C1    push    edx                          ; |Arg1
0045D3C2    call    <_sprintf>                   ; \OllyICE.004A6C2C

改为：

0045D3A4    mov     ecx, dword ptr [ebp-3C]
0045D3A7    push    ecx
0045D3A8    lea     edx, dword ptr [ebp-488]
0045D3AE    push    edx
0045D3AF    lea     eax, dword ptr [ebp-388]
0045D3B5    push    eax
0045D3B6    push    004BC134           ;  ASCII "%s.%s_%i"
0045D3BB    lea     edx, dword ptr [ebp-288]
0045D3C1    push    edx                          ; |Arg1
0045D3C2    call    <_sprintf>                   ; \OllyICE.004A6C2C

第三处修改：

0045D478   lea     eax, dword ptr [ebp-488]
0045D47E   lea     ecx, dword ptr [ebp-388]
0045D484   push    eax                              ; /Arg5
0045D485   lea     eax, dword ptr [ebp-288]         ; |
0045D48B   mov     edx, dword ptr [ebp-3C]          ; |
0045D48E   push    edx                              ; |Arg4
0045D48F   push    ecx                              ; |Arg3
0045D490   push    004BC07B                         ; |Arg2 = 004BC07B ASCII "%s.#%i_%s"
0045D495   push    eax                              ; |Arg1
0045D496   call    <_sprintf>                       ; \OllyICE_.004A6C2C

改为：

0045D478   mov     edx, dword ptr [ebp-3C]
0045D47B   push    edx                              ; /Arg5
0045D47C   lea     eax, dword ptr [ebp-488]         ; |
0045D482   push    eax                              ; |Arg4
0045D483   lea     ecx, dword ptr [ebp-388]         ; |
0045D489   push    ecx                              ; |Arg3
0045D48A   push    004BC07B                         ; |Arg2 = 004BC07B ASCII "%s.%s_%i"
0045D48F   lea     eax, dword ptr [ebp-288]         ; |
0045D495   push    eax                              ; |Arg1
0045D496   call    <_sprintf>                       ; \OllyICE_.004A6C2C

第四处直接修改：

004BC07B  25 73 2E 25 73 5F 25 69 00 00             ; %s.%s_%i..

修改后的OllyICE放在附件中。
OllyICE_2.rar

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

上传的附件：

OllyICE_2.rar （588.52kb，930次下载）
Snap1.jpg （96.96kb，3448次下载）
Snap2.jpg （98.68kb，3447次下载）

收藏・26

点赞・7

打赏

最新回复 (63) 1 2 3 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 671 粉丝 0 关注私信	fixfix 2008-7-31 11:42 2 楼 0 test hohohoho
gjianbo 雪币： 103 活跃值： (1326) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 104 粉丝 1 关注私信	gjianbo 2 2008-8-1 11:26 3 楼 0 谢谢楼主分享，支持
SnowFox 雪币： 8021 活跃值： (1688) 能力值： ( LV8，RANK：122 ) 在线值：发帖 17 回帖 299 粉丝 11 关注私信	SnowFox 2008-8-6 22:19 4 楼 0 不错,挺有用的
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 2 关注私信	morning 1 2008-8-11 13:20 5 楼 0 很有用,建议kanxue更新一下工具区ollydbg,省得弟兄们修改了
nbw 雪币： 337 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2008-8-13 22:49 6 楼 0 这个也比较强悍~
gdnhpjw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	gdnhpjw 2008-9-14 08:44 7 楼 0 非常好的修改呀!多谢楼主!
lyws 雪币： 216 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 20 粉丝 0 关注私信	lyws 2008-9-14 09:01 8 楼 0 谢楼主分享，学习了
广陵寒雪币： 1011 活跃值： (269) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	广陵寒 2008-9-19 12:17 9 楼 0 好东西，收藏。
dssz 雪币： 233 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 259 粉丝 0 关注私信	dssz 2008-9-22 12:00 10 楼 0 这么好的文章，应该加精华鼓励楼主啦
djog 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 61 粉丝 0 关注私信	djog 2008-9-22 17:04 11 楼 0 好东西要顶起呀.
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 2008-9-25 23:14 12 楼 0 确实是好东西，不用再到MFC的海洋中去找一个函数了，THANKS
ladzhoukai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	ladzhoukai 2008-9-26 15:54 13 楼 0 好就一个字！
Huoliuhi 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Huoliuhi 2008-9-30 07:01 14 楼 0 bump and lurk
wanghh 雪币： 200 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	wanghh 2008-10-4 13:30 15 楼 0 谢谢楼主分享！
tzl 雪币： 437 活跃值： (1319) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 526 粉丝 0 关注私信	tzl 10 2008-10-5 13:24 16 楼 0 这个比较牛,才发现..
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2271 粉丝 1 关注私信	快雪时晴 4 2008-10-5 18:46 17 楼 0 KANXUE过节去了，没看到，我再顶一下
tinhdau 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	tinhdau 2008-10-7 08:22 18 楼 0 test it!!!! thanks..
roottan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	roottan 2008-10-27 10:13 19 楼 0 太好啦,楼主太有才了
zhaobotang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zhaobotang 2008-10-29 12:57 20 楼 0 好东西就要：“顶”……
djog 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 61 粉丝 0 关注私信	djog 2008-11-5 13:58 21 楼 0 好东西.顶起啊....老大还是更新下工具区吧..N久没更新了..
macnew 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	macnew 2008-11-27 17:03 22 楼 0 看了一便，好多都不懂，先潜水去学习一下，等入门了再来
Perfecter 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Perfecter 2008-12-2 22:32 23 楼 0 非常感谢。收下用了。
wadeyan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	wadeyan 2008-12-4 00:42 24 楼 0 学习下··学习下··
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 2008-12-6 10:07 25 楼 0 谢谢楼主分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

zrj99

发帖

回帖

RANK

关注

私信

他的文章

[求助]这是什么算法?

[原创]VC++中委托的简单实现(源代码)

[原创]修改OllyICE, 方便调试MFC程序

[原创]反汇编Reflector的源代码

关于我们

联系我们

企业服务

看雪公众号

最新回复 (63) 1 2 3 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 671 粉丝 0 关注私信	fixfix 2008-7-31 11:42 2 楼 0 test hohohoho
gjianbo 雪币： 103 活跃值： (1326) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 104 粉丝 1 关注私信	gjianbo 2 2008-8-1 11:26 3 楼 0 谢谢楼主分享，支持
SnowFox 雪币： 8021 活跃值： (1688) 能力值： ( LV8，RANK：122 ) 在线值：发帖 17 回帖 299 粉丝 11 关注私信	SnowFox 2008-8-6 22:19 4 楼 0 不错,挺有用的
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 2 关注私信	morning 1 2008-8-11 13:20 5 楼 0 很有用,建议kanxue更新一下工具区ollydbg,省得弟兄们修改了
nbw 雪币： 337 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2008-8-13 22:49 6 楼 0 这个也比较强悍~
gdnhpjw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	gdnhpjw 2008-9-14 08:44 7 楼 0 非常好的修改呀!多谢楼主!
lyws 雪币： 216 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 20 粉丝 0 关注私信	lyws 2008-9-14 09:01 8 楼 0 谢楼主分享，学习了
广陵寒雪币： 1011 活跃值： (269) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	广陵寒 2008-9-19 12:17 9 楼 0 好东西，收藏。
dssz 雪币： 233 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 259 粉丝 0 关注私信	dssz 2008-9-22 12:00 10 楼 0 这么好的文章，应该加精华鼓励楼主啦
djog 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 61 粉丝 0 关注私信	djog 2008-9-22 17:04 11 楼 0 好东西要顶起呀.
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 2008-9-25 23:14 12 楼 0 确实是好东西，不用再到MFC的海洋中去找一个函数了，THANKS
ladzhoukai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	ladzhoukai 2008-9-26 15:54 13 楼 0 好就一个字！
Huoliuhi 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Huoliuhi 2008-9-30 07:01 14 楼 0 bump and lurk
wanghh 雪币： 200 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	wanghh 2008-10-4 13:30 15 楼 0 谢谢楼主分享！
tzl 雪币： 437 活跃值： (1319) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 526 粉丝 0 关注私信	tzl 10 2008-10-5 13:24 16 楼 0 这个比较牛,才发现..
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2271 粉丝 1 关注私信	快雪时晴 4 2008-10-5 18:46 17 楼 0 KANXUE过节去了，没看到，我再顶一下
tinhdau 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	tinhdau 2008-10-7 08:22 18 楼 0 test it!!!! thanks..
roottan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	roottan 2008-10-27 10:13 19 楼 0 太好啦,楼主太有才了
zhaobotang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zhaobotang 2008-10-29 12:57 20 楼 0 好东西就要：“顶”……
djog 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 61 粉丝 0 关注私信	djog 2008-11-5 13:58 21 楼 0 好东西.顶起啊....老大还是更新下工具区吧..N久没更新了..
macnew 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	macnew 2008-11-27 17:03 22 楼 0 看了一便，好多都不懂，先潜水去学习一下，等入门了再来
Perfecter 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Perfecter 2008-12-2 22:32 23 楼 0 非常感谢。收下用了。
wadeyan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	wadeyan 2008-12-4 00:42 24 楼 0 学习下··学习下··
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 2008-12-6 10:07 25 楼 0 谢谢楼主分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复