解密分析基础 第三课 动态分析技术

第三课 动态分析技术

所谓动态分析是利用调试器，如OllyDBG一步一步地单步执行软件。常见的调试器有SoftICE，OllyDBG（简称OD）等。SoftICE是一款经典的调试工具，运行在Ring0级，可以调试驱动。但平时调试的程序都是Ring3级，因此推荐大家用OllyDBG，这款工具上手容易，功能十分强大，现在论坛上的文章基本都是用OllyDBG来讲解的。

3.1 OllyDBG调试器

http://bbs.pediy.com/upload/2006/20/image/ollydbg.gif

OllyDBG工具下载

点击此处下载OD

CCDebuger的OllyDBG入门教学

OllyDBG 入门系列（一）－认识OllyDBG

OllyDBG 入门系列（二）－字串参考

OllyDBG 入门系列（三）－函数参考

OllyDBG 入门系列（四）－内存断点

OllyDBG 入门系列（五）－消息断点及 RUN 跟踪

名词解释

1.所谓领空，实际上是指：在某一时刻，CPU 的 CS:IP(EIP) 所指向的某一段代码的所有者所在的区域。

3.2 Olldbg常见问题

Q: OD中如何运行到光标所在处？

A: 将光标移到目标位置，按F4.

Q: 如何用OD修改可执行程序？

A：直接在反汇编代码区更改,这时可以使用汇编代码更改,然后选中修改后的汇编代码，右击-->复制到可执行文件-->保存文件.

Q:OD中的代码乱码，如：

004365E0 >db 68 ; CHAR 'h'

004365E1 >db A4

004365E2 >db 7A ; CHAR 'z'

004365E3 >db E5

004365E4 >db B8

004365E5 >db E8

004365E6 >db BB

A:OD右键，"分析/从模板中删除分析"，如不行，按Ctrl+A重新分析

Q:OD为什么删除了断点，重新加载的时候，这些断点都会重新出现

A:设置ollydbg.ini，将配制文件里改成如下：Backup UDD files=1 (by kanxue)

Q：如何还原到OD到分析前的状态?

A：右键 分析/从模块中删除扫描

Q：什么是UDD？

A：OllyDbg 把所有程序或模块相关的信息保存至单独的文件中，并在模块重新加载时继续使用。这些信息包括了标签、注释、断点、监视、分析数据、条件等等

Q:OD的数据窗口显示一个下划线，是什么意思？

A:重定位加下划线［Underline fixups］，几乎所有的DLL和一部分程序都包含重定位，这样就可以在内存中的不同基地址加载模块了。当该项开启时，CPU反汇编窗口或CPU数据窗口中的重定位地址都将添加下划线。（xing_xsz）

Q：如果已经知道某一CALL的具体作用,能否把后面所有相同的CALL都改成函数名形式?

A：比如 CALL 110000 此中已经知道110000是一个核心计算

则如下操作,让光标停在CALL 110000 这个语句上,按回车键

会跳到110000的地址上去显示,之后让光标停在110000上,按

shift 和; (分号) 其实就是完成一个:(冒号)的动作,输入

名称,这回所有的调用110000处,都会显示CALL 你刚才输入的

名称了.(nig回答)

Q：用OD调试一些加壳程序，如Themida等，可能你会发现下断后（包括硬件断点），程序跑到断点时，OD会出现假死现像。

A：打开OD配置文件ollydbg.ini，你会发现：Restore windows= 123346 //这个Restore windows可能会是一个很大的值

现在只需要将Restore windows＝0，重新用OD调试程序，假死问题就消失了。 (kanxue)

Q:ollydbg中如何调用pdb文件？

A:

pdb文件是VC++调试编译生成的文件。由编译器直接生成。

pdb文件要配合源文件使用。不同的源文件pdb文件不同。

用OD装入可执行文件后，点击CPU窗口中的注释段可出现源码。

不过不是所有的源码都可以显示的。VC++6.0以下都可以显示。

还有一种不显示的原因是缺少路径。点击OD主菜单的[查看]->[源文件]

如果[源码]段出现(缺少)字样的话，说明此路径的源码是看不了的。设置正确的路径就可以了。

（nantz回答）

Q：运行A.exe，其会调用B.exe，如果用OD再附加B.exe，OD会死掉

A：

1.OD菜单，设置OD为即时调试器；

2.将B.exe的入口改成CC，即INT 3指令，同时记下原指令

3.运行A.exe，其调用B.exe，会导致异常，OD会自动启动加载B.exe，此时你将INT 3指令恢复原指令。

4.到这步，你己可以任意调试B.exe了(kanxue)

Q:用ollydbg调试的时候，断住kernel32.dll系统函数，然后”执行到用户代码“，就可以回到被调程序的代码。但有时候却回不来，不知道这又是为什么？

A:

多半是杀毒软件（如卡巴对LoadLibraryA）Hook API入口代码进入ring 0了，OllyDbg不能单步跟踪，这种情况下只要看堆栈返回地址，在返回地址上下端点，F9执行就可以了。（cyclotron回答）

Q:OD的“复制可执行文件”后面没有 “所有修改”的菜单

A:OD识别代码段范围失败后, 没有复制all modifications的选项, 因为这个是复制代码段内的修改的。（曾半仙回答）

OllyDBG技巧汇集

OllyDBG的命令行解释

OllyDBG里SHIFT+F4条件断点用法篇

OllyDbg实用技巧六则

OllyDBG的教学-Run trace

3.3 Olldbg脚本教学

这部分有点难度，新手可以跳过，等水平提高后回头再学习。

OD脚本教学

认识ODbgScript

ODbgScript的命令

ODbgScript的脚本命令(2)

ODbgScript的 注意事项和使用技巧

OllyScript v0.92中文帮助文档

也谈写OllyScript脚本之Career和心声