免杀动态对抗之syscall[源码分析]
基础概念
操作系统分为内核和应用层,从R0-R3,断点断点R0是硬件源码硬件源码有什用内核,R3是断点断点用户层。Windows中日常调用的硬件源码硬件源码有什用API都是R3抽象出来的接口,虽然Win API它也是断点断点转发视频红包源码R3接口,但由于Windows的硬件源码硬件源码有什用设计思想就是高度封装,实际上的断点断点R3 API是ntdll.dll中的函数。
我们调用的硬件源码硬件源码有什用Win API都是kernel.dll/user.dll中的函数,最终都要经过ntdll.dll。断点断点
逆向学习一个函数,硬件源码硬件源码有什用选定CreateThread,断点断点ntdll中的硬件源码硬件源码有什用对应函数是NtCreateThread。可以看到首先给eax赋值(系统调用号SSN),断点断点然后再执行syscall。硬件源码硬件源码有什用
EDR的工作原理是对Windows API进行hook。一般使用inline hook,即将函数的开头地址值改成jmp xxxxxxx(hook函数地址)。知道了syscall的调用模板,自己构造syscall(获取SSN,syscall),即可绕过EDR对API的hook。
学习不同项目对应的手法,如HellsGate、TartarusGate、GetSSN、SysWhispers等。这些项目通过遍历解析ntdll.dll模块的导出表,定位函数地址,获取系统调用号SSN,实现动态获取SSN。
使用直接系统调用或间接系统调用,如SysWhispers系列项目的直接系统调用(手搓syscall asm)和间接系统调用(使用用户态API,如kernel.dll中的API)。系统调用号SSN在不同版本的系统下是不一样的,可以参考相关技术博客整理的列表。
SysWhispers2使用随机系统调用跳转(Random Syscall Jumps)避免“系统调用的标记”,通过SW__GetRandomSyscallAddress函数在ntdll.dll中搜索并选择一个干净的系统调用指令来使用。
SysWhispers3引入了egg技术(动态字符替换,汇编指令层次的混淆)和支持直接跳转到syscalls,是spoof call的变体,绕过对用户态asm文件syscall的监控。
HWSyscalls项目通过kernel gadget,跳到ntdll.dll中做间接syscall,更彻底地实现了间接系统调用。
这些项目的实现涉及软件中自定义堆栈流程、硬件断点等技术,通过内核函数调用、动态字符替换、异常处理机制等,绕过EDR检测和系统调用监控,实现免杀动态对抗。
tc2.0 的用法
.Run(运行程序)
运行由Project/Project name项指定的文件名或当前编辑区的文件。如果对上
次编译后的源代码未做过修改, 则直接运行到下一个断点(没有断点则运行到结束)。
否则先进行编译、连接后才运行, 其热键为Ctrl+F9。
User screen(用户屏幕)
显示程序运行时在屏幕上显示的结果。其热键为Alt+F5。
tc2.0虽然比较老了 但是判断补码源码用的人还是比较多的
毕竟用它写c语言风靡过几代人的
有关它的设置和用法 问的人也不少
在此俺搜集了有关资料 以飨读者。
进入Turbo C 2.0集成开发环境中后, 屏幕上显示:
——————————————————————————————
File Edit Run Compile Project Options Debug Break/watch
┌————————————Edit——————————————┐
│ Line 1 Col 1 Insert Indent Tab File Unindent c:NONAME.C│
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│—————————Message——————————————— │
│ │
│ │
└————————————————————————————┘
F1-Help F5-Zoom F6-Switch F7-Trace F8-Step F9-Make F-Menu
——————————————————————————————
其中顶上一行为Turbo C 2.0 主菜单, 中间窗口为编辑区, 接下来是信息窗
口, 最底下一行为参考行。这四个窗口构成了Turbo C 2.0的主屏幕, 以后的编程、
编译、调试以及运行都将在这个主屏幕中进行。下面详细介绍主菜单的内容。
★ 1 主菜单
主菜单 在Turbo C 2.0主屏幕顶上一行, 显示下列内容:
File Edit Run Compile Project Options Debug Break/watch
除Edit外, 其它各项均有子菜单, 只要用Alt加上某项中第一个字母(即大写字
母), 就可进入该项的子菜单中。
一、File(文件)菜单
按Alt+F可进入File菜单, 该菜单包括以下内容:
.Load(加载)
装入一个文件, 可用类似DOS的通配符(如*.C)来进行列表选择。也可装入其它
扩展名的文件, 只要给出文件名(或只给路径)即可。该项的热键为F3, 即只要在主
菜单中按F3即可进入该项, 而不需要先进入File菜单再选此项。
.Pick(选择)
将最近装入编辑窗口的8个文件列成一个表让用户选择, 选择后将该程序装入
编辑区, 并将光标置在上次修改过的地方。其热健为Alt-F3。
.New(新文件)
说明文件是新的, 缺省文件名为NONAME.C, 存盘时可改名。
.Save(存盘)
将编辑区中的文件存盘, 若文件名是NONAME.C时, 将询问是否更改文件名, 其
热键为F2。
.Write to(存盘)
可由用户给出文件名将编辑区中的文件存盘, 若该文件已存在, 则询问要不要
覆盖。
.Directory(目录)
显示目录及目录中的文件, 并可由用户选择。
.Change dir(改变目录)
显示当前目录, 用户可以改变显示的目录。
.Os shell(暂时退出)
暂时退出Turbo C 2.0到DOS提示符下, 此时可以运行DOS 命令, 若想回到
Turbo C 2.0中, 只要在DOS状态下键入EXIT即可。
.Quit(退出)
退出Turbo C 2.0, 返回到DOS操作系统中, 其热键为Alt+X。
说明:
以上各项可用光标键移动色棒进行选择, 回车则执行。也可用每一项的第一个
大写字母直接选择。若要退到主菜单或从它的下一级菜单列表框退回均可用Esc键,
Turbo C 2.0所有菜单均采用这种方法进行操作, 以下不再说明。
二、Edit(编辑)菜单
按Alt+E可进入编辑菜单, 若再回车, 则光标出现在编辑窗口, 此时用户可以
进行文本编辑。
编辑方法基本与wordstar相同, 可用F1键获得有关编辑方法的帮助信息。
与编辑有关的功能键如下:
F1 获得Turbo C 2.0编辑命令的帮助信息
F5 扩大编辑窗口到整个屏幕
F6 在编辑窗口与信息窗口之间进行切换
F 从编辑窗口转到主菜单
编辑命令简介:
PageUp 向前翻页
PageDn 向后翻页
Home 将光标移到所在行的开始
End 将光标移到所在行的结尾
Ctrl+Y 删除光标所在的一行
Ctrl+T 删除光标所在处的一个词
Ctrl+KB 设置块开始
Ctrl+KK 设置块结尾
Ctrl+KV 块移动
Ctrl+KC 块拷贝
Ctrl+KY 块删除
Ctrl+KR 读文件
Ctrl+KW 存文件
Ctrl+KP 块文件打印
Ctrl+F1 如果光标所在处为Turbo C 2.0库函数, 则获得有关该函数的帮助
信息
Ctrl+Q[ 查找Turbo C 2.0双界符的后匹配符
Ctrl+Q] 查找Turbo C 2.0双界符的前匹配符
说明:
1. Turbo C 2.0的双界符包括以下几种符号:
花括符 { 和}
尖括符 <和>
圆括符 (和)
方括符 [和]
注释符 /*和*/
双引号 "
单引号 '
2. Turbo C 2.0在编辑文件时还有一种功能, 就是能够自动缩进, 即光标定位
和上一个非空字符对齐。在编辑窗口中, Ctrl+OL为自动缩进开关的控制键。
三、Run(运行)菜单
按Alt+R可进入Run菜单, 该菜单有以下各项:
.Run(运行程序)
运行由Project/Project name项指定的文件名或当前编辑区的文件。如果对上
次编译后的源代码未做过修改, 则直接运行到下一个断点(没有断点则运行到结束)。
否则先进行编译、连接后才运行, 其热键为Ctrl+F9。
.Program reset(程序重启)
中止当前的调试, 释放分给程序的空间, 其热键为Ctrl+F2。
.Go to cursor(运行到光标处)
调试程序时使用, 选择该项可使程序运行到光标所在行。光标所在行必须为一
条可执行语句, 否则提示错误。其热键为F4。
.Trace into(跟踪进入)
在执行一条调用其它用户定义的子函数时, 若用Trace into项, 则执行长条将
跟踪到该子函数内部去执行, 其热键为F7。
.Step over(单步执行)
执行当前函数的下一条语句, 即使用户函数调用, 执行长条也不会跟踪进函数
内部, 其热键为F8。
.User screen(用户屏幕)
显示程序运行时在屏幕上显示的结果。其热键为Alt+F5。
四、Compile(编译)菜单
按Alt+C可进入Compile菜单, 该菜单有以下几个内容:
.Compile to OBJ(编译生成目标码)
将一个C源文件编译生成.OBJ目标文件, 同时显示生成的文件名。其热键为
Alt+F9。
.Make EXE file(生成执行文件)
此命令生成一个.EXE的文件, 并显示生成的.EXE文件名。其中.EXE文件名是下
面几项之一。
1. 由Project/Project name说明的项目文件名。
2. 若没有项目文件名, 则由Primary C file说明的源文件。
3. 若以上两项都没有文件名, 则为当前窗口的文件名。
.Link EXE file(连接生成执行文件)
把当前.OBJ文件及库文件连接在一起生成.EXE文件。
.Build all(建立所有文件)
重新编译项目里的所有文件, 并进行装配生成.EXE文件。该命令不作过时检查
(上面的几条命令要作过时检查, 即如果目前项目里源文件的日期和时间与目标文
件相同或更早, 则拒绝对源文件进行编译)。
.Primary C file(主C文件)
当在该项中指定了主文件后, 在以后的编译中, 如没有项目文件名则编译此项
中规定的主C文件, 如果编译中有错误, 则将此文件调入编辑窗口, 不管目前窗口
中是不是主C文件。
.Get info(获得有关当前路径、源文件名、源文件字节大小、编译中的错误数
目、可用空间等信息。
五、nodepad++源码Project(项目)菜单
按Alt+P可进入Project菜单, 该菜单包括以下内容:
.Project name(项目名)
项目名具有.PRJ的扩展名, 其中包括将要编译、连接的文件名。例如有一个程
序由file1.c, file2.c, file3.c组成, 要将这3个文件编译装配成一个file.exe的
执行文件, 可以先建立一个file.prj的项目文件, 其内容如下:
file1.c
file2.c
file3.c
此时将file.prj放入Project name项中, 以后进行编译时将自动对项目文件中
规定的三个源文件分别进行编译。然后连接成file.exe文件。
如果其中有些文件已经编译成.OBJ文件, 而又没有修改过, 可直接写上.OBJ扩
展名。此时将不再编译而只进行连接。
例如: file1.obj
file2.c
file3.c
将不对file1.c进行编译, 而直接连接。
说明:
当项目文件中的每个文件无扩展名时, 均按源文件对待, 另外, 其中的文件也
可以是库文件, 但必须写上扩展名.LIB。
.Break make on(中止编译)
由用户选择是否在有Warining(警告)、Errors(错误)、Fatal Errors( 致命错
误)时或Link(连接)之前退出Make编译。
.Auto dependencies(自动依赖)
当开关置为on, 编译时将检查源文件与对应的.OBJ文件日期和时间, 否则不进
行检查。
.Clear project(清除项目文件)
清除Project/Project name中的项目文件名。
.Remove messages(删除信息)
把错误信息从信息窗口中清除掉。
六、Options(选择菜单)
按Alt+O可进入Options菜单, 该菜单对初学者来说要谨慎使用。
.Compiler(编译器)
本项选择又有许多子菜单, 可以让用户选择硬件配置、存储模型、调试技术、
代码优化、对话信息控制和宏定义。这些子菜单如下:
Model
共有Tiny, small, medium, compact, large, huge 六种不同模式可由同户选
择。
Define
打开一个宏定义框, 同户可输入宏定义。多重定义可同分号, 赋值可用等号。
Code generation
它又有许多任选项, 这些任选项告诉编译器产生什么样的目标代码。
Calling convention 可选择C或Pascal方式传递参数。
Instruction set 可选择/或/指令系列。
Floating point 可选择仿真浮点、数学协处理器浮点或无浮点运算。
Default char type 规定char的类型。
Alignonent 规定地址对准原则。
Merge duplicate strings 作优化用, 将重复的字符串合并在一起。
Standard stack frame 产生一个标准的栈结构。
Test stack overflow 产生一段程序运行时检测堆栈溢出的代码。
Line number 在.OBJ文件中放进行号以供调试时用。
OBJ debug information 在.OBJ文件中产生调试信息。
Optimization
Optimize for 选择是对程序小型化还是对程序速度进行优
化处理。
Use register variable 用来选择是否允许使用寄存器变量。
Register optimization 尽可能使用寄存器变量以减少过多的取数操
作。
Jump optimization 通过去除多余的跳转和调整循环与开关语句
的办法, 压缩代码。
Source
Indentifier length 说明标识符有效字符的个数, 默认为个。
Nested comments 是否允许嵌套注释。
ANSI keywords only 是只允许ANSI关键字还是也允许Turbo C
2.0关键字
Error
Error stop after 多少个错误时停止编译, 默认为个。
Warning stop after 多少个警告错误时停止编译, 默认为个。
Display warning
Portability warning 移植性警告错误。
ANSI Violations 侵犯了ANSI关键字的警告错误。
Common error 常见的警告错误。
Less common error 少见的警告错误。
Names 用于改变段(segment)、 组( group) 和类
(class)的名字, 默认值为CODE,DATA,BSS。
.Linker(连接器)
本菜单设置有关连接的选择项, 它有以下内容:
Map file menu 选择是否产生.MAP文件。
Initialize segments 是否在连接时初始化没有初始化的段。
Devault libraries 是否在连接其它编译程序产生的目标文件时去寻
找其缺省库。
Graphics library 是否连接graphics库中的函数。
Warn duplicate symbols 当有重复符号时产生警告信息。
Stack warinig 是否让连接程序产生No stack的警告信息。
Case-sensitive link 是否区分大、小写字。够级+源码
.Environment(环境)
本菜单规定是否对某些文件自动存盘及制表键和屏幕大小的设置
Message tracking
Current file 跟踪在编辑窗口中的文件错误。
All files 跟踪所有文件错误。
Off 不跟踪。
Keep message 编译前是否清除Message窗口中的信息。
Config auto save 选on时, 在Run, Shell或退出集成开发环境之前,
如果Turbo C 2.0的配置被改过, 则所做的改动
将存入配置文件中。选off时不存。
Edit auto save 是否在Run或Shell之前, 自动存储编辑的源文件。
Backup file 是否在源文件存盘时产生后备文件(.BAK文件)。
Tab size 设置制表键大小, 默认为8。
Zoomed windows 将现行活动窗口放大到整个屏幕, 其热键为F5。
Screen size 设置屏幕文本大小。
.Directories(路径)
规定编译、连接所需文件的路径, 有下列各项:
Include directories 包含文件的路径, 多个子目录用";"分开。
Library directories 库文件路径, 多个子目录用";"分开。
Output directoried 输出文件(.OBJ, .EXE, .MAP文件)的目录。
Turbo C directoried Turbo C 所在的目录。
Pick file name 定义加载的pick文件名, 如不定义则从current
pick file中取。
.Arguments(命令行参数)
允许用户使用命令行参数。
.Save options(存储配置)
保存所有选择的编译、连接、调试和项目到配置文件中, 缺省的配置文件为
TCCONFIG.TC。
.Retrive options
装入一个配置文件到TC中, TC将使用该文件的选择项。
七、Debug(调试)菜单
按Alt+D可选择Debug菜单, 该菜单主要用于查错, 它包括以下内容:
Evaluate
Expression 要计算结果的表达式。
Result 显示表达式的计算结果。
New value 赋给新值。
Call stack 该项不可接触。而在Turbo C debuger 时用于检
查堆栈情况。
Find function 在运行Turbo C debugger时用于显示规定的函数。
Refresh display 如果编辑窗口偶然被用户窗口重写了可用此恢复
编辑窗口的内容。
八、Break/watch(断点及监视表达式)
按Alt+B可进入Break/watch菜单, 该菜单有以下内容:
Add watch 向监视窗口插入一监视表达式。
Delete watch 从监视窗口中删除当前的监视表达式。
Edit watch 在监视窗口中编辑一个监视表达式。
Remove all watches 从监视窗口中删除所有的监视表达式。
Toggle breakpoint 对光标所在的行设置或清除断点。
Clear all breakpoints 清除所有断点。
View next breakpoint 将光标移动到下一个断点处。
★ 2 Turbo C 2.0的配置文件
所谓配置文件是包含Turbo C 2.0有关信息的文件, 其中存有编译、连接的选
择和路径等信息。
可以用下述方法建立Turbo C 2.0的配置:
1. 建立用户自命名的配置文件
可以从Options菜单中选择Options/Save options命令, 将当前集成开发环境
的所有配置存入一个由用户命名的配置文件中。下次启动TC时只要在DOS下键入:
tc/c<用户命名的配置文件名>
就会按这个配置文件中的内容作为Turbo C 2.0的选择。
2. 若设置Options/Environment/Config auto save 为on, 则退出集成开发环
境时, 当前的设置会自动存放到Turbo C 2.0配置文件TCCONFIG.TC中。Turbo C 在
启动时会自动寻找这个配置文件。
3. 用TCINST设置Turbo C的有关配置, 并将结果存入TC.EXE中。Turbo C 在启
动时, 若没有找到配置文件, 则取TC.EXE中的缺省值。
gdb是什么意思
GDB的意思GDB是GNU Debugger的缩写,它是一个在Unix和类似Unix系统上的开源调试工具。以下是关于GDB的详细解释:
GDB介绍
GDB是GNU项目的一部分,为源代码调试提供了强大的功能。它可以用来调试C、C++以及其他语言的程序。在程序出现错误或崩溃时,开发者可以使用GDB来定位问题,查看程序的状态,包括变量的值、寄存器的状态等。此外,源码自适应GDB还允许设置断点、单步执行代码等,为开发者提供了一个强大的调试环境。
GDB的功能特点
1. 源代码调试:GDB允许开发者在源代码级别进行调试,这意味着可以跟踪程序的执行流程,查看和修改变量的值,设置断点等。
2. 强大的命令集:GDB拥有一套丰富的命令集,包括设置断点、单步执行、继续运行到下一个断点等命令,使得开发者能够精细地控制程序的执行过程。
3. 跨平台支持:GDB支持多种操作系统和硬件平台,使得开发者可以在不同的环境下使用相同的调试工具。
如何使用GDB
使用GDB调试程序通常涉及以下步骤:
1. 使用`gdb`命令启动GDB。
2. 使用`file`命令加载要调试的程序。
3. 设置断点。
4. 使用`run`命令开始调试会话。
5. 使用各种GDB命令来检查程序状态、修改变量值、单步执行等。
总之,GDB是一个强大的源代码调试工具,对于开发和调试复杂程序非常有用。无论是初学者还是资深开发者,掌握GDB的使用都是非常重要的技能。
OLLYDBG详细介绍
OllyDbg是一款强大的调试工具,它针对多种处理器和数据格式提供支持,要求至少MHz奔腾处理器和MB内存。其功能包括多选项配置、源码级调试、代码高亮、多线程分析、对象扫描和Implib扫描,支持Unicode,识别超过个C和Windows API函数,连无调试信息的递归调用也能处理。OllyDbg展示了函数名称、参数和调试信息,方便用户理解和使用,无需安装,直接运行即可。 OllyDbg的强大功能还包括智能栈分析,识别返回地址和参数,SEH链跟踪,以及多种搜索功能如精确和模糊搜索。它提供窗口管理,包括断点设置和资源查看,支持硬件断点和Hit/Run跟踪,协助代码执行流程分析。工具支持Unicode,允许添加标签和注释,跟踪栈帧和结构化异常处理,并能搜索二进制代码、数据和命令,非常适合现代程序的调试。 OllyDbg可以追踪字符串、符号或Run记录中的引用,列出指向特定地址的命令。它支持条件断点,执行速度高效,带有Hit和Run跟踪功能,分别用于检测代码执行和记录执行历史。工具能处理多线程,自动恢复线程状态,并允许创建内存快照,对比不同版本。此外,它简化了添加补丁和修改可执行文件的流程,但需注意不适用于位Win系统。 使用OllyDbg的方法包括副作用检测、自解压入口提取,以及一系列的单步和自动执行操作。工具还支持Hit和Run跟踪,以及条件执行。在反汇编面板中,用户可以通过快捷键快速操作,如设置断点、搜索和修改代码等。 注意,保护或反调试技术可能影响OllyDbg的跟踪效果。在调试独立DLL时,用户可以通过加载DLL、设置断点和调用函数来进行操作,如调试MessageBoxW函数。同时,理解插件使用和解码技巧对于充分利用OllyDbg也至关重要。扩展资料
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。ntsd具体怎么用啊?
NTSD(Native-mode Debugger)是一个用户态进程调试工具,主要用于调试Windows操作系统中的程序。它提供了丰富的调试命令和功能,可以帮助开发人员定位和解决程序中的错误和问题。
要使用NTSD进行调试,首先需要打开命令提示符(Command Prompt)。在Windows操作系统中,可以通过按下Win键+R,然后输入"cmd"并按Enter键来打开命令提示符。接下来,需要切换到需要调试的程序所在的目录。可以使用cd命令来切换目录,例如输入"cd C:\Program Files\MyProgram"将命令提示符的当前目录切换到"MyProgram"程序所在的目录。
一旦切换到程序所在目录,就可以启动NTSD调试会话了。在命令提示符中输入"ntsd -g -G"命令,其中"-g"选项用于启用调试器的调试功能,"-G"选项用于启动被调试的程序。例如,如果要调试名为"MyProgram.exe"的程序,可以输入"ntsd -g -G MyProgram.exe"。
在NTSD调试会话中,可以输入各种调试命令来进行调试。一些常用的调试命令包括:
* "g":继续执行程序,直到遇到下一个断点或异常。
* "p":启动程序并暂停在入口点处,以便进行进一步的调试。
* "bu":设置硬件断点,在指定的内存地址处中断程序的执行。
此外,NTSD还支持加载调试符号,以便更好地理解代码。调试符号包含了源代码与二进制代码之间的映射关系。可以使用".symfix"命令自动加载Windows符号服务器上的符号,或者使用".sympath"命令设置符号路径,指定符号文件所在的目录。
当完成调试后,可以在NTSD调试会话中输入"q"命令,退出NTSD调试会话。请注意,NTSD是一个强大的调试工具,使用时需要谨慎操作,以免对系统或程序造成不必要的损害。
总的来说,NTSD是一个功能强大的用户态进程调试工具,通过使用它可以有效地定位和解决程序中的错误和问题。通过掌握NTSD的基本用法和调试命令,开发人员可以更加高效地进行程序调试和优化。
这是什么
远程用的
OllyDbg是一个位汇编级的直观的分析调试器。
它在源代码不可得或者你用编译器遇到问题的时候特别有用。
运行需要。工作在Windows ,,Me,NT或者,可能XP上(没有测试)。
运行于任何奔腾级别的电脑上,但是如果想要流畅的调试,你可能需要一个至少MHz的处理器。
Ollydbg是很耗内存的。如果你想要使用某些扩展特性比如追踪,我推荐或更多内存。
支持的处理器。OllyDbg支持所有x,奔腾,MMX,3Dnow!,包括Athlon扩展,和SSE指令以及相应数据格式。
但不支持SSE2. 可配置性。大约有个选项控制OllyDbg的行为和外观。
数据格式。
Dump窗口显示所有常规数据格式:
hex,ASCII,UNICODE,和位正/负/进制整数,//位浮点数,地址,反汇编(MASM或IDEAL),或作为注释的
PE部首或者线程数据块。
帮助。
这个文件包含理解和使用OllyDbg所需的重要信息。
如果你有Windows API帮助文件(因为考虑到版权的原因没有附带),你可以把它附加到OllyDbg一起,以便在系统调
用的时候获得立即帮助。
启动。
你可以以命令行,文件菜单,拖放的方式指定可执行文件,重启最后调试过的程序或者把它附加到正在运行的程序上
。OllyDbg支持实时调试。安装是不必要的,你可以从软盘上启动OllyDbg。
线程。
OllyDbg可以调试多线程应用程序。你可以从一个线程切换到另一个,挂起,恢复和中止线程或者改变他们的优先级。
线程窗口显示每一个线程的错误信息(通过调用GetLastError来返回)
分析。
分析器是OllyDbg重要的一部分。它识别过程,简单和级联转换器,表,嵌入代码中的常数和字符串,复杂的结构,
API函数调用,函数参数号,输入段等等。分析可以使二进制代码可读性增强,使调试变得容易以及减少错误中断和崩
溃的可能性。它不是面向编译器的,可以于任何的PE程序工作得一样好。
对象扫描器。
OllyDbg扫描对象文件或库(都是按OMF和COFF格式的),释放代码段并在被调试的程序中定位它们。
IMPLIB扫描器。
一些DLLS只按照序数输出它们的Symbols,这对于人的眼睛来说是没什么意义的。如果你有相应的输入库,OllyDBg能
把序数翻译回symbolic名称。
全UNICODE支持。
几乎所有对ASCII串可用的操作对于UNICODE串都是可用的,反之亦然。
名称。
OllyDbg显示所有输入和输出的symbols.它按照Borland格式把名称从调试信息中提取出来。对象扫描器允许识别库函
数。你可以增添你自己的名字和注释。如果某些DLL中的函数是通过序数输出的,你可以附加一个输入库到OllyDbg中
,以恢复原始名称。Ollydbg也可识别许多常数的symbolic名称,像窗口消息,错误代码或位段,然后在call中把他们
解码为已知的函数。
已知函数。
OllyDbg能通过名称识别大约个被C和Windows API频繁使用的函数,并能解码他们的参数。你可以添加你自己的描
述,或者分配预先定义的译码。你可以在已知函数上设置logging breakpoint(记录断点)并把参数记录到日志中。
堆栈。使用简单的试探,OllyDbg尝试识别返回地址和堆栈帧。
但注意,他们有可能是上一个call所留下的残余(译者:破解的时候有时反而需要!)。如果程序在已知的函数上暂
停,堆栈窗口解码实参。 搜索。大量的可能性!搜索命令(确切的或近似的),命令号,常数,二进制或者文本串(
不必是连续的),搜索参考地址的所有命令,常数或者地址范围,搜索名称,在整个分配的内存中搜索2进制序列。如
果发现多个地址,你可以在他们中间来回的切换。
资源。
如果Windows API函数参考资源串,OllyDbg可以释放并显示它(译者:wdsam)。对其它类型的只是限制在列出附属
资源,转储和2进制编辑。 断点。OllyDbg支持所有种类的常规断点:简单断点,条件断点,中断并把信心写到日志文
件(例如,函数的参数),写或访问的内存断点,硬件断点(只能ME/NT/)。在hit trace(命中追踪)的极端例
子下,INT3中断可以设置在模块的每个命令下。在有MHz处理器的Windows NT环境中,OllyDbg可以每秒钟处理
个以上的中断。 监视和查看工具。Watch是一个每次程序暂停时候都被计算的表达式。你可以使用寄存器,常数
,地址表达式,布尔和任何复杂的代数操作符。你可以比较ASCII和UNICODE串。Inspector是包含2个索引并能以一个
2维表格的形式表示的watch,它可以解码数组和结构。
执行。
你可以一步步的执行程序,或者进入子过程,或者立刻执行它。你可以运行程序知道返回或者运行到指定的地方,或
者连续执行。当程序运行时,你仍然对其具有完全的控制,而且你还可以查看内存,设置断点,甚至在运行时实时调
整代码。而且,在任何时候你都能暂停和重启被调试的程序。 命中追踪。Hit trace显示到目前为止,那些命令或进
程被执行了,它允许你检测你代码的所有分支。Hit trace在每个指定的命令上下断点,并在命令被执行后(被命中
Hit)移去它。
运行追踪。
Run trace一步一步执行程序,并把执行结果摘要到一个大的缓冲中。这个摘要包括所有的寄存器(除了SSE),旗标
和线程错误,消息和已知函数的解码后的参数。你可以保存原始命令,这样可以使调试自改变程序变的容易。你可以
指定条件以停止追踪。或者按地址范围,表达式或者一个命令。你可以把run trace的结果保存到一个文件中并比较两
个独立的Run。Run trace允许回朔追综,并详细分析大量命令执行的经过。
摘要。
摘要计算某条指令在run trace缓冲区中被列出了多少次。用摘要,你可以知道哪部分代码消耗了最多的处理时间。
补丁。
内建的汇编器自动选择最短可能的代码。二进制编辑器同时以ASCII,UNICODE和进制的形式同步显示数据。固有的拷
贝粘贴功能仍然是可用的。自动备份允许撤销改变。你可以直接修改后拷贝到可执行文件中去,OllyDbg甚至还能适当
调整你做的改变。
自解压文件。
当调试自解压文件时,你常常想要跳过自解压然后停在原始程序的入口点。OllDbg完成SFX(自解压)追踪,它尝试这
定位真实的入口。SFX追踪常常对于加了保护的自解压程序是无能为力的。发现入口(或者指定)后,OllyDbg可以更
快速和可靠的跳过解压程序。 插件。通过编写你自己的插件,你可以给OllyDbg添加功能。插件存取所有重要的数据
结构,添加菜单和快捷方式到存在的OllyDbg窗口并使用超过个插件API函数,这些插件API有详细的文档说明。
UDD。
OllyDbg存储所有程序或模块相关信息到单个文件并在模块装载的时候读入。这些信息包括标签,注释,断点,监视,
分析数据,条件等等。 定制。你可以定制字体和颜色方案。
2024-12-28 22:41
2024-12-28 22:33
2024-12-28 22:08
2024-12-28 21:50
2024-12-28 21:24