ODB调试指令汇总

OD使用完全教程.txt如果不懂就说出来，如果懂了，就笑笑别说出来。

贪婪是最真实的贫穷，满足是最真实的财富。

幽默就是一个人想哭的时候还有笑的兴致。

OllyDbg调试工具使用完全教程一，什么是 OllyDbg？OllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。

它的特别之处在于可以在没有源代码时解决问题，并且可以处理其它编译器无法解决的难题。

Version 1.10 是最终的发布版本。

这个工程已经停止，我不再继续支持这个软件了。

但不用担心：全新打造的 OllyDbg 2.00 不久就会面世！运行环境： OllyDbg 可以以在任何采用奔腾处理器的 Windows 95、98、ME、NT 或是 XP（未经完全测试）操作系统中工作，但我们强烈建议您采用300-MHz以上的奔腾处理器以达到最佳效果。

还有，OllyDbg 是极占内存的，因此如果您需要使用诸如追踪调试［Trace］之类的扩展功能话，建议您最好使用128MB以上的内存。

支持的处理器： OllyDbg 支持所有 80x86、奔腾、MMX、3DNOW！、Athlon 扩展指令集、SSE 指令集以及相关的数据格式，但是不支持SSE2指令集。

配置：有多达百余个（天呀！）选项用来设置 OllyDbg 的外观和运行。

数据格式： OllyDbg 的数据窗口能够显示的所有数据格式：HEX、ASCII、UNICODE、 16/32位有/无符号/HEX整数、32/64/80位浮点数、地址、反汇编（MASM、IDEAL或是HLA）、PE文件头或线程数据块。

帮助：此文件中包含了关于理解和使用 OllyDbg 的必要的信息。

如果您还有 Windows API 帮助文件的话（由于版权的问题 win32.hlp 没有包括在内），您可以将它挂在 OllyDbg 中，这样就可以快速获得系统函数的相关帮助。

启动：您可以采用命令行的形式指定可执行文件、也可以从菜单中选择，或直接拖放到OllyDbg中，或者重新启动上一个被调试程序，或是挂接［Attach］一个正在运行的程序。

原文链接：/zhoumhan_0351/blog/static/399542272009826105222389/（本文图片需用鼠标点击方可看到，其他转帖图片根本无法看到）整理：袁嘉璐10、OpNET的ODB调试1）基本概念日志文件：仿真日志（DESlog，DiscreteEventSimulationlog）和错误日志（Errorlog）。

它的内容是在仿真过程中由进程调用OPNET函数op_prg_log_handle_create()op_prg_log_entry_write()写入的。

在Help菜单下可以打开错误日志文件。

错误日志文件以文本方式保存为<home>/op_admin/err_log，除了在菜单中打开也可以在OPNET控制台（console）窗口输入op_vuerr命令查看。

它包含了函数调用堆栈信息，我们可以从函数阶层性的调用关系中精确定位出错位置。

在编写函数时必须使用FIN（functionbegin）、FOUT（functionout）、FRET （functionreturn）等界定函数范围的标识符，而且必须使它们配对。

编写程序时切记使FIN和FOUT/FRET配对。

要产生ODB调试信息，必须将仿真核心类型设定为development，优化的仿真核心（optimized）为了加快仿真速度不产生ODB调试信息。

之后我们还需要在仿真属性中包含debug环境变量。

ODB为控制和管理仿真行为提供一个交互式环境。

ODB支持断点（Breakpoint）定义，跟踪并显示仿真诊断信息。

ODB功能的实现有赖于进程模型中编写相应的程序支持，作为ODB指令激活调试状态（breakpoint、trace和action）的依据，可以在ODB窗口中输入help<参数：all，basic，action，event，memeory，misc，object，packet，process，scripting，stop，trace>查看感兴趣的指令。

适用于OllyDbg 的快捷命令栏插件（显示于程序的状态栏上方）CALC判断表达式WATCH添加监视表达式AT / FOLLOWDisassemble at address在地址进行反汇编ORIGDisassemble at EIP反汇编于EIPDUMPDump at address在地址转存DADump as disassembly转存为反汇编代码DBDump in hex byte format转存在十六进制字节格式DCDump in ASCII format转存在ASCII 格式DDDump in stack format转存在堆栈格式DUDump in UNICODE format转存在UNICODE 格式DWDump in hex word format 转存在十六进制字词格式STKGo to address in stack前往堆栈中的地址AS + 地址+ 字符串Assemble at address在地址进行汇编L + 地址+ 字符串Label at address在地址进行标号C + 地址+ 字符串Comment at address在地址进行注释BPBreak with condition使用条件中断BPXBreak on all calls中断在全部调用BPDDelete break on all calls 清除位于全部调用的断点BCDelete breakpoint清除断点MRMemory breakpt on access 内存断点于访问时MWMemory breakpt on write内存断点于写入时MDRemove memory breakpoint 清除内存断点HRHW break on access硬件中断在访问HWHW break on write硬件中断在写入HEHW break on execution硬件中断在执行HDRemove HW breakpoint清除硬件断点STOP停止运行程序调试PAUSE暂停程序调试RUNRun program运行程序进行调试Run till address运行到地址GERun and pass exception 运行和通过例外SIStep into步入SOStep over步过TITrace in till address跟踪进入直到地址TOTrace over till address 跟踪步过直到地址TCTrace in till condition跟踪进入直到条件TOCTrace over till condition 跟踪步过直到条件TRTill return直到返回TUTill user code直到用户代码LOGView Log window查看记录窗口MODView Modules window查看模块窗口MEMView Memory window查看内存窗口CPUView CPU window查看CPU 窗口CSView Call Stack查看Call 堆栈BRKView Breakpoints window 查看断点窗口OPTOpen Options打开选项EXIT / QUITQuit OllyDbg退出OllyDbgOPENOpen executable file打开可执行文件CLOSEClose executable关闭程序RSTRestart current program恢复当前程序HELPHelp on API functionAPI 函数的帮助DASMDisassemble immediate opcode反汇编直接的机器码FRFind reference to selected command/address 查找参考到选定的命令/地址ACAnalyse code分析代码SNSearch for Name(label) in current module在当前模块中搜索名称(标号)SOBScan object files扫描项目文件OllyDbg 常用快捷热键打开一个新的可执行程序(F3)重新运行当前调试的程序(Ctrl+F2)当前调试的程序(Alt+F2)运行选定的程序进行调试(F9)暂时停止被调试程序的执行(F12)单步进入被调试程序的Call 中(F7)步过被调试程序的Call (F8)跟入被调试程序的Call 中(Ctrl+F11)跟踪时跳过被调试程序的Call (Ctrl+F12) 执行直到返回(Ctrl+F9)显示记录窗口(Alt+L)显示模块窗口(Alt+E)显示内存窗口(Alt+M)显示CPU 窗口(Alt+C)显示补丁窗口(Ctrl+P)显示呼叫堆栈(Alt+K)显示断点窗口(Alt+B)打开调试选项窗口(Alt+O)。

常用汇编指令的认识软件破解常用汇编指令cmp a,b // 比较a与bmov a,b // 把b值送给a值，使a=bret// 返回主程序nop// 无作用call// 调用子程序，子程序以ret结尾 je或jz// 相等则跳（机器码是74或84） jne或jnz// 不相等则跳（机器码是75或85） jmp// 无条件跳（机器码是EB）jb// 若小于则跳ja// 若大于则跳jg// 若大于则跳jge// 若大于等于则跳jl// 若小于则跳pop xxx// xxx出栈push xxx// xxx压栈★★破解经典句式★★1.(最常用)mov eax [ ]mov edx [ ]call 00?????? 关键calltest eax eaxjz(jnz)或 jne(je) 关键跳转2 (最常用)mov eax [ ]mov edx [ ]call 00??????关键calljne(je)关键跳转3mov eax [ ]mov edx [ ]cmp eax,edxjnz(jz)4lea edi [ ]lea esi [ ]repz cmpsdjz(jnz)5mov eax [ ]mov edx [ ]call 00??????setz (setnz) al (bl,cl…)6mov eax [ ]mov edx [ ]call 00??????test eax eaxsetz (setnz) bl,cl…7call 00?????? ***push eax (ebx,ecx…)…………call 00??????pop eax (ebx,ecx…)test eax eaxjz(jnz)一、数据传输指令它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.1.通用数据传送指令.MOV 传送字或字节.MOVSX 先符号扩展,再传送.MOVZX 先零扩展,再传送.PUSH 把字压入堆栈.POP 把字弹出堆栈.PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.BSWAP 交换32位寄存器里字节的顺序XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数) CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX )XADD 先交换再累加.( 结果在第一个操作数里 )XLAT 字节查表转换.── BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL )2.输入输出端口传送指令.IN I/O端口输入. ( 语法: IN 累加器, {端口号│DX} )OUT I/O端口输出. ( 语法: OUT {端口号│DX},累加器 )输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时,其范围是 0-65535.3.目的地址传送指令.LEA 装入有效地址.例: LEA DX,string ;把偏移地址存到DX.LDS 传送目标指针,把指针内容装入DS.例: LDS SI,string ;把段地址:偏移地址存到DS:SI.LES 传送目标指针,把指针内容装入ES.例: LES DI,string ;把段地址:偏移地址存到ES:DI.LFS 传送目标指针,把指针内容装入FS.例: LFS DI,string ;把段地址:偏移地址存到FS:DI.LGS 传送目标指针,把指针内容装入GS.例: LGS DI,string ;把段地址:偏移地址存到GS:DI.LSS 传送目标指针,把指针内容装入SS.例: LSS DI,string ;把段地址:偏移地址存到SS:DI.4.标志传送指令.LAHF 标志寄存器传送,把标志装入AH.SAHF 标志寄存器传送,把AH内容装入标志寄存器.PUSHF 标志入栈.POPF 标志出栈.PUSHD 32位标志入栈.POPD 32位标志出栈.二、算术运算指令 ADD 加法.ADC 带进位加法.INC 加 1.AAA 加法的ASCII码调整.DAA 加法的十进制调整.SUB 减法.SBB 带借位减法.DEC 减 1.NEC 求反(以 0 减之).CMP 比较.(两操作数作减法,仅修改标志位,不回送结果).AAS 减法的ASCII码调整.DAS 减法的十进制调整.MUL 无符号乘法.IMUL 整数乘法.以上两条,结果回送AH和AL(字节运算),或DX和AX(字运算),AAM 乘法的ASCII码调整.DIV 无符号除法.IDIV 整数除法.以上两条,结果回送:商回送AL,余数回送AH, (字节运算);或 商回送AX,余数回送DX, (字运算).AAD 除法的ASCII码调整.CBW 字节转换为字. (把AL中字节的符号扩展到AH中去)CWD 字转换为双字. (把AX中的字的符号扩展到DX中去)CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去)CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去) 三、逻辑运算指令AND 与运算.OR 或运算.XOR 异或运算.NOT 取反.TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果).SHL 逻辑左移.SAL 算术左移.(=SHL)SHR 逻辑右移.SAR 算术右移.(=SHR)ROL 循环左移.ROR 循环右移.RCL 通过进位的循环左移.RCR 通过进位的循环右移.以上八种移位指令,其移位次数可达255次.移位一次时, 可直接用操作码. 如 SHL AX,1.移位>1次时, 则由寄存器CL给出移位次数.如 MOV CL,04SHL AX,CL四、串指令DS:SI 源串段寄存器 :源串变址.ES:DI 目标串段寄存器:目标串变址.CX 重复次数计数器.AL/AX 扫描值.D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量.Z标志 用来控制扫描或比较操作的结束.MOVS 串传送.( MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字. ) CMPS 串比较.( CMPSB 比较字符. CMPSW 比较字. )SCAS 串扫描.把AL或AX的内容与目标串作比较,比较结果反映在标志位.LODS 装入串.把源串中的元素(字或字节)逐一装入AL或AX中.( LODSB 传送字符. LODSW 传送字. LODSD 传送双字. ) STOS 保存串.是LODS的逆过程.REP当CX/ECX<>0时重复.REPE/REPZ 当ZF=1或比较结果相等,且CX/ECX<>0时重复.REPNE/REPNZ 当ZF=0或比较结果不相等,且CX/ECX<>0时重复.REPC当CF=1且CX/ECX<>0时重复.REPNC当CF=0且CX/ECX<>0时重复.五、程序转移指令　1>无条件转移指令 (长转移)JMP 无条件转移指令CALL 过程调用RET/RETF过程返回.2>条件转移指令 (短转移,-128到+127的距离内)( 当且仅当(SF XOR OF)=1时,OP1<OP2 )JA/JNBE 不小于或不等于时转移.JAE/JNB 大于或等于转移.JB/JNAE 小于转移.JBE/JNA 小于或等于转移.以上四条,测试无符号整数运算的结果(标志C和Z).JG/JNLE 大于转移.JGE/JNL 大于或等于转移.JL/JNGE 小于转移.JLE/JNG 小于或等于转移.以上四条,测试带符号整数运算的结果(标志S,O和Z).JE/JZ 等于转移.JNE/JNZ 不等于时转移.JC 有进位时转移.JNC 无进位时转移.JNO 不溢出时转移.JNP/JPO 奇偶性为奇数时转移.JNS 符号位为 "0" 时转移.JO 溢出转移.JP/JPE 奇偶性为偶数时转移.JS 符号位为 "1" 时转移.3>循环控制指令(短转移)LOOP CX不为零时循环.LOOPE/LOOPZ CX不为零且标志Z=1时循环.LOOPNE/LOOPNZ CX不为零且标志Z=0时循环.JCXZ CX为零时转移.JECXZ ECX为零时转移.4>中断指令INT 中断指令INTO 溢出中断IRET 中断返回5>处理器控制指令HLT 处理器暂停, 直到出现中断或复位信号才继续.WAIT 当芯片引线TEST为高电平时使CPU进入等待状态.ESC 转换到外处理器.LOCK 封锁总线.NOP 空操作.STC 置进位标志位.CLC 清进位标志位.CMC 进位标志取反.STD 置方向标志位.CLD 清方向标志位.STI 置中断允许位.CLI 清中断允许位.六、伪指令DW 定义字(2字节).PROC 定义过程.ENDP 过程结束.SEGMENT 定义段.ASSUME 建立段寄存器寻址.ENDS 段结束.END 程序结束.。

ODB命令及使用一、概述ODB（Object Database）是面向对象的数据库管理系统，它是基于对象的数据模型的数据库，在ODB中数据是以对象的形式存储和管理的。

ODB提供了一组命令和语法来操作和管理数据库中的对象。

二、常用命令1. 创建数据库：CREATE DATABASE [database_name]创建一个新的ODB数据库。

2. 连接数据库：CONNECT DATABASE [database_name]连接到已存在的ODB数据库。

3.断开连接：DISCONNECTDATABASE断开与当前数据库的连接。

4.显示数据库：SHOWDATABASES显示所有可用的ODB数据库列表。

5. 创建类：CREATE CLASS [class_name]创建一个新的对象类。

6.显示类：SHOWCLASSES显示所有已存在的对象类。

7. 插入对象数据：INSERT INTO [class_name] [column_name=value]向指定类中插入新的对象数据。

8. 更新对象数据：UPDATE [class_name] SET [column_name=value] WHERE [condition]更新类中满足条件的对象数据。

9. 删除对象数据：DELETE FROM [class_name] WHERE [condition]删除类中满足条件的对象数据。

10. 查询对象数据：SELECT * FROM [class_name] WHERE [condition]查询类中满足条件的对象数据。

11. 创建索引：CREATE INDEX ON [class_name]([column_name])在指定的列上创建索引。

12. 删除索引：DROP INDEX ON [class_name]([column_name])删除指定列上的索引。

13. 备份数据库：BACKUP DATABASE [database_name]备份指定的ODB数据库。

1）基本概念日志文件：仿真日志（DES log，Discrete Event Simulation log）和错误日志（Error log）。

它的内容是在仿真过程中由进程调用OPNET 函数op_prg_log_handle_create ()op_prg_log_entry_write ()写入的。

在Help 菜单下可以打开错误日志文件。

错误日志文件以文本方式保存为<home>/op_admin/err_log，除了在菜单中打开也可以在OPNET 控制台（console）窗口输入op_vuerr 命令查看。

它包含了函数调用堆栈信息，我们可以从函数阶层性的调用关系中精确定位出错位置。

在编写函数时必须使用FIN（function begin）、FOUT（function out）、FRET（function return）等界定函数范围的标识符，而且必须使它们配对。

编写程序时切记使FIN 和FOUT/FRET 配对。

要产生ODB 调试信息，必须将仿真核心类型设定为development，优化的仿真核心（optimized）为了加快仿真速度不产生ODB 调试信息。

之后我们还需要在仿真属性中包含debug 环境变量。

ODB 为控制和管理仿真行为提供一个交互式环境。

ODB 支持断点（Breakpoint）定义，跟踪并显示仿真诊断信息。

ODB 功能的实现有赖于进程模型中编写相应的程序支持，作为ODB 指令激活调试状态（breakpoint、trace 和action）的依据，可以在ODB 窗口中输入help<参数：all，basic，action，event，memeory，misc，object，packet，process，scripting，stop，trace>查看感兴趣的指令。

ODB常用的指令分为basic，event，object，packet，stop，trace，process 几类。

调试技巧总结-原理和实现-------------------------------------------------------------------------------------------------------2008.8.7 shellwolf一、前言前段学习反调试和vc，写了antidebug-tester，经常会收到message希望交流或索要实现代码，我都没有回复。

其实代码已经在编程版提供了1个版本，另其多是vc内嵌asm写的，对cracker而言，只要反下就知道了。

我想代码其实意义不是很大，重要的是理解和运用。

做个简单的总结，说明下实现原理和实现方法。

也算回复了那些给我发Message的朋友。

部分代码和参考资料来源：1、<<脱壳的艺术>> hawking2、<<windows anti-debugger reference>> Angeljyt3、4、<<软件加密技术内幕>> 看雪学院5、<<ANTI-UNPACKER TRICKS>> Peter Ferrie我将反调试技巧按行为分为两大类，一类为检测，另一类为攻击，每类中按操作对象又分了五个小类：1、通用调试器包括所有调试器的通用检测方法2、特定调试器包括OD、IDA等调试器，也包括相关插件，也包括虚拟环境3、断点包括内存断点、普通断点、硬件断点检测4、单步和跟踪主要针对单步跟踪调试5、补丁包括文件补丁和内存补丁反调试函数前缀检测攻击通用调试器 FD_ AD_特定调试器 FS_ AS_断点 FB_ AB_单步和跟踪 FT_ AT_补丁 FP_ AP_声明：1、本文多数都是摘录和翻译，我只是重新组合并翻译，不会有人告侵权吧。

里面多是按自己的理解来说明，可能有理解错误，或有更好的实现方法，希望大家帮忙指出错误。

2、我并没有总结完全，上面的部分分类目前还只有很少的函数甚至空白，等待大家和我一起来完善和补充。