OD使用教程7 - 解密系列【调试篇】

od反编译工具用法反编译是指将已经编译过的程序文件转换为高级源代码的过程。

反编译工具可以帮助开发者了解和学习其他人编写的程序，对于调试和修复软件错误也很有帮助。

OD (OllyDbg) 是一种广泛使用的反汇编调试工具，本文将介绍如何使用OD进行反编译。

OD的基本使用方法如下：2.打开需要反编译的程序：在OD主界面上点击“文件”菜单，然后选择“打开”选项，浏览并选择需要反编译的程序文件，并点击“打开”按钮。

3.反汇编代码窗口：OD会在主界面上打开一个反汇编代码窗口，这个窗口将显示程序的机器码和相应的汇编指令。

4.反编译代码：可以通过“右键单击”汇编指令，然后选择“跟随”选项来进行反编译。

OD会尝试寻找并显示反编译后的代码。

5.查看变量和数据：在OD的主界面上，有一个“数据窗口”，可以显示程序中的变量和内存数据。

在反汇编代码窗口中选择一些指令，然后在数据窗口中查看它所使用的变量和数据的值。

6.设置断点：在OD中设置断点可以帮助我们在特定指令上暂停执行程序，以便查看程序状态和调试错误。

在反汇编代码窗口中选择一些指令，然后点击“上方”菜单中的“条件断点”选项，OD会弹出一个对话框，可以在其中设置断点条件。

7.运行程序：在OD的主界面上，有一个“执行”菜单，可以用于运行程序。

可以通过点击“执行”菜单中的“运行”选项来启动程序的执行。

当程序遇到断点时，会停止执行并进入调试模式。

8.调试程序：在OD的调试模式下，可以通过一些常用的调试功能来调试程序。

例如，可以通过“单步执行”菜单选项逐行执行程序代码，通过“寄存器窗口”查看和修改寄存器值，通过“内存窗口”查看和修改内存数据等。

需要注意的是，使用OD进行反编译需要一定的汇编和调试知识。

同时，反编译软件可能涉及违法行为，如未获得程序开发者的许可而进行反编译。

请确保遵守法律规定，并只在合法和正当的情况下使用反编译工具。

在使用OD进行反编译时，可以参考以下一些技巧和注意事项：1.了解汇编语言与机器码的对应关系：汇编语言是将机器码转换为可读性更高的指令的语言，因此了解汇编语言的基本语法和常见指令有助于理解和分析程序。

OD使用完全教程.txt如果不懂就说出来，如果懂了，就笑笑别说出来。

贪婪是最真实的贫穷，满足是最真实的财富。

幽默就是一个人想哭的时候还有笑的兴致。

OllyDbg调试工具使用完全教程一，什么是 OllyDbg？OllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。

它的特别之处在于可以在没有源代码时解决问题，并且可以处理其它编译器无法解决的难题。

Version 1.10 是最终的发布版本。

这个工程已经停止，我不再继续支持这个软件了。

但不用担心：全新打造的 OllyDbg 2.00 不久就会面世！运行环境： OllyDbg 可以以在任何采用奔腾处理器的 Windows 95、98、ME、NT 或是 XP（未经完全测试）操作系统中工作，但我们强烈建议您采用300-MHz以上的奔腾处理器以达到最佳效果。

还有，OllyDbg 是极占内存的，因此如果您需要使用诸如追踪调试［Trace］之类的扩展功能话，建议您最好使用128MB以上的内存。

支持的处理器： OllyDbg 支持所有 80x86、奔腾、MMX、3DNOW！、Athlon 扩展指令集、SSE 指令集以及相关的数据格式，但是不支持SSE2指令集。

配置：有多达百余个（天呀！）选项用来设置 OllyDbg 的外观和运行。

数据格式： OllyDbg 的数据窗口能够显示的所有数据格式：HEX、ASCII、UNICODE、 16/32位有/无符号/HEX整数、32/64/80位浮点数、地址、反汇编（MASM、IDEAL或是HLA）、PE文件头或线程数据块。

帮助：此文件中包含了关于理解和使用 OllyDbg 的必要的信息。

如果您还有 Windows API 帮助文件的话（由于版权的问题 win32.hlp 没有包括在内），您可以将它挂在 OllyDbg 中，这样就可以快速获得系统函数的相关帮助。

启动：您可以采用命令行的形式指定可执行文件、也可以从菜单中选择，或直接拖放到OllyDbg中，或者重新启动上一个被调试程序，或是挂接［Attach］一个正在运行的程序。

一、OllyDBG的安装与配置详细OllyDBG只要解压到一个目录下，运行OllyDBG.exe就可以了。

汉化版的发布版本是个RAR压缩包，运行OllyDBG.exe即可：OllyDBG中各个窗口的功能如上图。

简单解释一下各个窗口的功能，更详细的内容可以参考TT小组翻译的中文帮助：反汇编窗口：显示被调试程序的反汇编代码，标题栏上的地址、HEX数据、反汇编、注释可以通过在窗口中右击出现的菜单界面选项->隐藏标题或显示标题来进行切换是否显示。

用鼠标左键点击注释标签可以切换注释显示的方式。

寄存器窗口：显示当前所选线程的CPU寄存器内容。

同样点击标签寄存器(FPU)可以切换显示寄存器的方式。

信息窗口：显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。

数据窗口：显示内存或文件的内容。

右键菜单可用于切换显示方式。

堆栈窗口：显示当前线程的堆栈。

要调整上面各个窗口的大小的话，只需左键按住边框拖动，等调整好了，重新启动一下OllyDBG就可以生效了。

启动后我们要把插件及UDD的目录配置为绝对路径，点击菜单上的选项->界面，将会出来一个界面选项的对话框，我们点击其中的目录标签：因为我这里是把OllyDBG解压在F:\OllyDBG目录下，所以相应的UDD目录及插件目录按图上配置。

还有一个常用到的标签就是上图后面那个字体，在这里你可以更改OllyDBG中显示的字体。

上图中其它的选项可以保留为默认，若有需要也可以自己修改。

修改完以后点击确定，弹出一个对话框，说我们更改了插件路径，要重新启动OllyDBG。

在这个对话框上点确定，重新启动一下OllyDBG，我们再到界面选项中看一下，会发现我们原先设置好的路径都已保存了。

有人可能知道插件的作用，但对那个UDD目录不清楚。

我这简单解释一下：这个UDD目录的作用是保存你调试的工作。

比如你调试一个软件，设置了断点，添加了注释，一次没做完，这时OllyDBG就会把你所做的工作保存到这个UDD目录，以便你下次调试时可以继续以前的工作。

题外：（找零区段的方法：a.将零区段nop掉，看是否可以保存 b.保存过后，测试程序事否可以运行，能运行就代表次区段可以使用）1.直接加花用OD打开木马服务端，(记下原入口点)，找段零区段(记下该区段，既是新的入口点）直接加上花指令.然后跳到原入口点。

保存好后，打开LordPE进行修改入口点。

列:原入口点:004A1E48新入口点:0049bb3c将木马托到LordPE里面，入口点地址显示的是原入口点，也就是004A1E48 我们修改它！把新入口点和原入口点比较相同的则不改。

改不相同的部分。

上面的列只要将9bb3c替换跳LordPE里面入口点地址A1E48 包存→确定即可！2.去头加花用OD打开木马服务端，(记下原入口点) 把头部的花指令（二至三行）记录下来，然后nop掉.找到零区段（记下新入口），把nop掉的头部花指令添加进去，再在后面添加花指令。

跳到去头花指令的第一个代码。

然后保存exe打开LordPE进行修改入口点(方法同1）.3.跳转加花（加多重花）用OD打开木马服务端，(记下原入口点) 。

找段零区段（记下新入口），添加花指令。

添加完毕后用（jmp 内存地址）然后在添加花指令。

最后跳到原入口点。

保存好后，打开LordPE进行修改入口点。

4.头前加花用OD打开木马服务端（把头部现记录下，然后nop掉），找段零区段（记录新入口点），先加段花指令，后加上头部指令，再跳到nop 掉的头的后面，改入口点。

5.头后加花用OD打开木马服务端（把头部现记录下，然后nop掉），找段零区段（记录新入口点），先加头部指令，后加段花指令。

再跳到nop 掉的头的后面，改入口点。

6.加区加花当零区段不够用的时候，或木马文件很小的时候，可以用zeroadd加段零区段。

增加区段的大小一般为100，名称随便。

可以用PEiD（点PE 区段）来查看是否添加成功，同时也可看见增加区段的内存地址（该内存地址和正常的内存地址有点差别，用这个内存地址是不可以跳到新加的零区段里面区，可以将已加好的零区段的木马载入OD，点击上方的M剑，即可看见刚刚所添加的零区段名称和内存地址，获得内存地址方法：选中刚刚添加零区段的名称→右键→复制到剪切板→地址，即可获得内存地址，然后在该内存地址上按上面的思路添加花指令。