ollydbg调试PE文件

最新推荐文章于 2025-05-28 09:38:33 发布

转载最新推荐文章于 2025-05-28 09:38:33 发布 · 1.3k 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/long123king/p/3591657.html

本文介绍了使用OllyDbg调试exe文件的方法，包括如何找到入口点地址、查看内存映射及利用CPU窗口进行指令跟踪。特别强调了CALL指令解析的重要性。

ollydbg项目地址：http://www.ollydbg.de/

将exe文件打开到ollydbg项目中，就会直接停到“入口点”地址处，通过View->Memory Map可以清楚地看到用户空间的各个内存区域的用途。

找到我们的目标文件映射到地址空间的区域，选择PE Header跟进去看AddressOfEntryPoint，再加上PE Header映射基地址，我们就得到了一开始的“入口点”地址。

在View中有好几个窗口，对于调试，最常用的就是CPU窗口。

将一个exe按F8(相当于F10)，F7(相当于F11)有选择地跑下来，最直观的感觉就是，对于CALL指令的支持与解释对于分析程序有很大帮助：

如上图红色字体内容。

FS:[0]里面存放的是什么呢，FS指向与当前线程有关的数据，FS一般为0x7FFDF000。

转载于:https://www.cnblogs.com/long123king/p/3591657.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34240520

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向

杨秀璋的专栏

12-26

6873

系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等，通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒，通过编写程序实现获取Windows系统目录文件，并对其进行加密和解密的过程；第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。

小甲鱼 OllyDbg 教程系列 (二) ：从一个简单的实例来了解PE文件

墨鱼菜鸡

07-11

2005

小甲鱼视频讲解：https://www.bilibili.com/video/av6889190?p=6https://www.bilibili.com/video/av6889190?p=7 从一个简单的实例来了解PE文件：https://www.freebuf.com/articles/system/86596.htmlhttps://blog.c...

参与评论您还未登录，请先登录后发表或查看评论

OllyDbg笔记-初识PE文件（nag窗口破解）

IT1995的博客

12-09

5698

目录基本概念代码与实例基本概念这里主要是记录下PE文件结构： PE文件结构，它在硬盘上的存储结构跟载入内存时候的存储结构是一样的。在PE文件结构里边找出想要的东西，当这个文件映射到内存后，也可以很容易的找到它（因为OD是动态调试，程序需要先载入内存）。内存中的一个模块代表一个可执行文件进程所需要的所有代码、数据、资源的集合。 PE文件结构： DOS head...

win32下PE文件（可执行文件）的常用分析与调试工具

05-02

内含多种工具，可对win32平台下的PE文件进行调试和分析，有利于进行PE文件的学习与深入研究

windows调试工具X86系统dbg_x86_6.11.1.404

11-04

Windows 调试工具老版本了，dbg_x86_6.11.1.404，需要的可以下载看看

Ollydbg学习

kendyhj9999的专栏

01-01

1965

from:http://blog.sina.com.cn/s/blog_61d65e360100le2a.html OD学习---详细分析（1）在此感谢我的搭档刘飞！OD学习之路有他的陪伴，我不再孤独！ Ollydbg简称OD，与WinDbg和SoftICE不同的是，他只能调试应用程序。而后两者则既可以调试应用程序也可以调试内核。就现在而言，我们只研究OD。SoftICE笔

DBG x86 windows程序调试工具

09-26

WinDbg是一个功能非常强大的调试器。它支持多种调试任务，如用户态调试、内核态调试、转储文件调试和远程调试。与此同时WinDbg还具有很好的灵活性和可扩展性。虽然是一个典型的GUI应用程序，但是它的大多数调试功能还是以手工输入命令的方式来工作的。目前版本的WinDbg提供了130多条标准命令，140多条元命令和难以计数的扩展命令。 WinDbg使用工作空间来描述和存储调试项目的属性、参数及调试器设置等信息。工作空间与vc中的项目文件很相似。WinDbg定义了两种工作空间，一种为默认工作空间，另一种为命名的工作空间。当没有明确使用某个命名空间时，WinDbg总是使用默认工作空间。 WinDbg在安装后就有预先创建了一些列默认空间。分别为基础工作空间、默认内核工作空间、默认远程调试工作空间、特定处理器工作空间、默认用户态工作空间。它们分别定义了在WinDbg在各种条件下的一些配置、参数设置等。

新手必备：OllyDBG使用与PE文件格式教程

1. **加载程序**：在OllyDBG中打开要调试的PE文件。 2. **断点设置**：通过F2快捷键设置断点，程序执行到此处会暂停。 3. **单步执行**：使用F7和F8键可以单步执行程序中的指令，F7用于跟踪进函数内部，F8则是跨过...

精选资源

关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改

09-23

在实际操作中，我们需要使用专用工具，如OllyDbg、PE Explorer、CFF Explorer等，它们提供了可视化界面和API接口来方便地查看和修改PE文件。同时，学习汇编语言和逆向工程知识对于深入理解PE修改至关重要。总结...

PE文件节区添加并弹出简单的对话框

12-03

这个过程中，你可能需要使用如OllyDbg、IDA Pro这样的调试和逆向工程工具。在提供的压缩包文件中，可能包含了一些示例代码、教程文档或工具，帮助你实现上述操作。通过学习这些内容，你可以深入理解PE文件的操作，...

OllyDBG调试器完全指南

6. **数据格式显示**：数据窗口能展示多种格式的数据，包括HEX、ASCII、UNICODE、整数、浮点数、地址、反汇编代码以及PE文件头等。 7. **帮助文档**：教程附带的帮助文件包含使用OLLYDBG所需的基本知识，如果用户...

RegisterMe.exe供OD（Ollydbg）学习用

08-11

供OD（Ollydbg）学习用的RegisterMe原版exe和Oops版exe

RegisterMe.exe供OD(Ollydbg)学习用-小甲鱼教程

09-11

供OD(Ollydbg)学习用-小甲鱼教程 .供OD(Ollydbg)学习用-小甲鱼教程..供OD(Ollydbg)学习用-小甲鱼教程

OllyDbg提示Not a valid PE file，****.exe‘ is probably not a 32-bit Portable Executable.

梦秋音

11-22

4342

Not a valid PE file File 'c:\******\Hello.exe' is probably not a 32-bit Portable Executable.Try to load it anyway? 第一次接触OllyDbg，用Code Block 写了一个控制台程序，编译后得到Hello.exe，用官网下载的OllyDbg打开该文件显示上面图片里的内容。后来发现原来Hello.exe是64位文件????，而OllyDbg只能打开32位的文件。想过下载64位

Ollydbg提示：xxxxxx可能不是一个 32 位 PE 文件,无论如何都尝试载入吗?

XuanRan的博客

09-02

4738

原标题：OD提示C:\Users\XuanRan\Desktop\xxxx.exe’可能不是一个个 32 位 PE 文件,无论如何都尝试载入吗?它的意思就是告诉你，OD现在只能用于32位软件。如果要调试64位程序，去使用x64dbg。

深入理解PE调试器的C语言实现

weixin_42583683的博客

05-28

908

在复杂程序的调试过程中，常常需要在满足特定条件时才触发断点，这时条件断点就显得尤为重要。条件断点允许开发者设定一个表达式，当表达式的结果为真时，程序会在断点处暂停执行。这可以极大地减少调试所需的时间，并帮助开发者快速定位到问题所在。

高校如何建立科研人员驻企服务的考核标准？_1.docx