ollydbg(od反汇编工具)

ollydbg是当前逆向工程主流的一款od反汇编工具，界面采用 BoOMBoX/TSRh2004 制作的美化界面，是目前为止最流行的调试解密工具。该软件适合32位动态调试，调试过程可随时插入全局标签，并且支持源码级调试和代码高亮功能，可以识别所有 Borland 和 Microsoft 格式的调试信息，包括源代码、函数名、标签、全局变量、静态变量。软件会自动运行一个可执行程序，这个程序会加载链接库，并允许您调用链接库的输出函数，这样减少了出错的可能性，使调试工作更加容易。不仅如此，ollydbg本身附带了118脱壳脚本和各种插件，能够支持Windows平台下的32/64位系统上使用是反汇编工作必备的调试工具，基本已经完全取代了SoftICE。小编这次带来的是汉化绿色版，下文有详细的使用教程，送给有需要的小伙伴参考借鉴。

软件界面介绍

1、反汇编窗口
ollydbg(od反汇编工具)在这里显示反汇编代码，我们将要以OllyDbg的默认配置调试分析你打开的程序。 调试选项可以在Options->Debugging options里更改。

2、寄存器
第二个重要的窗口——寄存器窗口。看一下这个在OllyDbg最右边的窗口，它出现了很多信息。

3、堆栈窗口
默认情况下，它显示ESP寄存器指向的信息（也是最重要的），但是你可以改变它的显示模式来显示来自涉及EBP的信息。这需要在这个窗口上点击右键，选择GO to EBP。再次点击右键选择Go to ESP，回到先前窗口。

4、数据窗口（dump）
默认的模式是最常用的，我们还可以改变它以显示反汇编代码(Disassemble)，文本（Text）和其它格式（Short，Long，Float）。现在我们了解了OllyDbg的最主要的四个窗口。还有一些窗口没有直接显示，可以通过菜单或控制面板上的图标按钮访问。

使用教程：

一、修改字符串
1、打开ollydbg，载入目标程序，如下图。

2、在汇编窗口中点击鼠标右键，选中strfinder字符查找插件，选择搜索ascII字符串，如下图。

3、找到我们要修改的字符串，双击追踪到汇编窗口，如下图。

4、在汇编窗口中，点击鼠标右键，选择数据窗口中跟随，立即常数，如下图。

5、在数据窗口中，选择一段内存，不要超过了原来字符串的长度，点击鼠标右键，选择编辑--二进制编辑，如下图。

6、在编辑数据地址对话框中的mbcs栏输入我们的字符，如下图。

7、点击hex栏，在刚刚改过的字符后面输入00 00来截断字符串，点击确定，如下图。

8、点击鼠标右键，选择编辑--复制所有改变到可执行文件，如下图。

9、点击鼠标右键，点击保存文件，如下图 。

10、在弹出的文件已更改的提示中，选择是，如下图。

11、输入文件名，点击保存，如下图。

12、双击打开我们保存的程序，修改成功，结果如下图。

二、在ollydbg中设置断点

1、打开ollydbg，加载需要调试的程序，如下图。

2、找到我们需要下断点的地方，点击F2，这时在地址处就有红色表示，即为断点，如下图。

3、下完断点后，我们点击运行，工具栏上的三角符号，这时程序将运行到我们下断点的位置，这时我们可以看到内存数据和寄存器都有变化，如下图。

4、再次点击f2，可以取消断点，如下图。

5、如果我们想重新加载程序，我们可以点击工具栏的额后退按钮，如下图。

6、点击后，ollydbg会提示重新加载可执行文件，我们点击yes，如下图。

7、稍等片刻，将会加载完成，程序停在程序执行的入口，如下图。

软件功能

1、启动
您可以采用命令行的形式指定可执行文件、也可以从菜单中选择，或直接拖放到OllyDbg反汇编工具中，或者重新启动上一个被调试程序，或是挂接[Attach]一个正在运行的程序。OllyDbg支持即时调试，根本不需要安装，可直接在软盘中运行！
2、线程
OllyDbg反汇编工具可以调试多线程程序。因此您可以在多个线程之间转换，挂起、恢复、终止线程或是改变线程优先级。并且线程窗口将会显示每个线程的错误（就像调用 GETLASTERROR 返回一样）。
3、调试DLLs
您可以利用OllyDbg调试标准动态链接库(DLLs）。OllyDbg 会自动运行一个可执行程序。这个程序会加载链接库，并允许您调用链接库的输出函数。
4、源码级调试
OllyDbg反汇编工具可以识别所有 Borland 和 Microsoft 格式的调试信息。这些信息包括源代码、函数名、标签、全局变量、静态变量。有限度的支持动态（栈）变量和结构。
5、代码高亮
OllyDbg的反汇编器可以高亮不同类型的指令（如：跳转、条件跳转、入栈、出栈、调用、返回、特殊的或是无效的指令）和不同的操作数（常规[general]、FPU/SSE、段/系统寄存器、在栈或内存中的操作数，常量）。您可以定制个性化高亮方案。
6、名称
OllyDbg可以根据 Borland 和 Microsoft 格式的调试信息，显示输入/输出符号及名称。Object 扫描器可以识别库函数。其中的名称和注释您可任意添加。如果DLL中的某些函数是通过索引号输出的，则您可通过挂接输入库[import library]来恢复原来的函数名称。不仅如此，OllyDbg还能识别大量的常量符号名（如：窗口消息、错误代码、位域[bit fields]…）并能够解码为已知的函数调用。
7、已知函数
OllyDbg反汇编工具可以识别 2300 多个C 和Windows API 中的常用函数及其使用的参数。您可以添加描述信息、预定义解码。您还可以在已知函数设定 Log断点并可以对参数进行记录。
8、函数调用
OllyDbg反汇编工具可以在没有调试信息或函数过程使用非标准的开始部分[prolog]和结尾部分[epilog]的情况下，对递归调用进行回溯。
9、配置
有多达百余个选项用来设置OllyDbg 的外观和运行。
数据格式：OllyDbg 的数据窗口能够显示的所有数据格式：HEX、ASCⅡ、UNICODE、 16/32位有/无符号/HEX整数、32/64/80位浮点数、地址、反汇编（MASM、IDEAL或是HLA）、PE文件头或线程数据块。

软件快捷键

OD界面-无论当前的OllyDbg窗口是什么，这些快捷键均有效： 
1、Ctrl+F2 - 重启程序，即重新启动被调试程序。如果当前没有调试的程序，OllyDbg会运行历史列表［historylist］中的第一个程序。程序重启后，将会删除所有内存断点和硬件断点。译者注：从实际使用效果看，硬件断点在程序重启后并没有移除。
2、F3 - 弹出“打开32位.EXE文件”对话框［Open 32-bit .EXE file］，您可以选择可执行文件，并可以输入运行参数。
3、F7 -单步步入到下一条命令，如果当前命令是一个函数［Call］，则会停在这个函数体的第一条命令上。如果当前命令是是含有REP前缀，则只执行一次重复操作。
4、F8 -单步步过到下一条命令。如果当前命令是一个函数，则一次执行完这个函数（除非这个函数内部包含断点，或发生了异常）。如果当前命令是含有REP前缀，则会执行完重复操作，并停在下一条命令上。
5、F9 - 让程序继续执行。
6、Ctrl+F11-Run跟踪步入，一条一条执行命令，进入每个子函数调用，并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。 
7、F12 - 停止程序执行，同时暂停被调试程序的所有线程。请不要手动恢复线程运行，使用继续执行快捷键或菜单选项（像 F9）。 
8、Alt+B - 显示断点窗口。在这个窗口中，您可以编辑、删除、或跟进到断点处。
9、Alt+C - 显示CPU窗口。
10、Alt+E - 显示模块列表［list of modules］。 
11、Alt+K - 显示调用栈［Call stack］窗口。 
12、Alt+L - 显示日志窗口。 
13、Alt+M - 显示内存窗口。
14、Alt+O - 显示选项对话框［Options dialog］ 
15、Ctrl+P - 显示补丁窗口。 
16、Ctrl+T - 打开 暂停 Run跟踪 对话框 
17、Alt+X - 关闭 OllyDbg。

软件特色

1、界面采用 BoOMBoX/TSRh2004 制作的美化界面，主要为了好看一点。
2、绝大部分句子都重新翻译过，力求做到准确。
3、目前为止最流行的调试解密工具
4、减少了出错的可能性，使调试工作更加容易
5、是反汇编工作的常用工具
6、附带了118脱壳脚本和各种插件
7、支持Windows平台下的32/64位系统上使用
8、功能非常强大，已经完全取代了SoftICE
9、配置文件中除字体、语法高亮、颜色这几个部分保留为中文外，其它的都恢复为英文。保留字体、语法高亮、颜色这几个部分为中文。
10、配置文件中的字体、语法高亮、颜色这几个部分恢复为英文，做了个恢复为英文配置的补丁放在英文配置补丁目录下，需要字体、语法高亮、颜色这部分也用英文配置的朋友可以把这个补丁放到安装目录，选择 Ollydbg.exe 补丁就可以了。
11、上一版中部分未汉化的内容这次除了不能汉化的外，基本上都已汉化。
12、另有一个界面未作美化的汉化版放在原版界面目录，可以按自己的喜好选择使用哪一个。
13、FixOD 目录下放的是用 freecat 的 AutoPath.dll 打过补丁的 OllyDBG，使用前请先备份好你原来的Ollydbg.exe文件，再把这个目录下的Ollydbg.exe、AutoPath.dll复制到你的OllyDBG安装目录下就可以了。
怎样保存ollydbg的调试信息以便下次使用?
答：调试菜单->；选择符号路径 然后在弹出的对话框设置路径即可。注意调试文件为udd格式，当被调试文件路径发生变化时调试信息不再可用。比如：你在C盘有一个文件用ollydby调试并加入注视或断点后，把这个文件移到别的路径下，再用ollydbg打开调试信息注视和断点不被显示。
注意：断点和注释窗口只能查看到当前模块的断点和注释，且当前被ollydbg分析为代码的断点和注释才能被看到。

运行环境

可以以在任何采用奔腾处理器的 Windows 95、98、ME、NT 或是 XP（未经完全测试）操作系统中工作，但我们强烈建议您采用300-MHz以上的奔腾处理器以达到最佳效果。还有，OllyDbg 是极占内存的，因此如果您需要使用诸如追踪调试[Trace]之类的扩展功能话，建议您最好使用128MB以上的内存。

支持的处理器

OllyDbg 支持所有 80x86、奔腾、MMX、3DNOW！、Athlon扩展指令集、SSE指令集以及相关的数据格式，但是不支持SSE2指令集。

更新日志

ollydbg v2.01汉化绿色版更新日志
1、对Ollydbg的窗口签名进行了更改，从而避免被针对性检测。
2、对Ollydbg的菜单做出调整。
3、针对一些有可能被检测的插件进行了删减。
4、修改了一些可能被检测的内容。
5、更新ollydbg的插件为目前较新的版本。