ollydbg中文版(od反汇编工具)

ollydbg中文版是当前逆向工程主流的一款od反汇编工具，界面采用 BoOMBoX/TSRh2004 制作的美化界面，是目前为止最流行的调试解密工具。该软件适合32位64位动态调试，调试过程可随时插入全局标签，并且支持源码级调试和代码高亮功能，可以识别所有 Borland 和 Microsoft 格式的调试信息，包括源代码、函数名、标签、全局变量、静态变量。软件会自动运行一个可执行程序，这个程序会加载链接库，并允许您调用链接库的输出函数，这样减少了出错的可能性，使调试工作更加容易。不仅如此，ollydbg本身附带了118脱壳脚本和各种插件，能够支持Windows平台下的32/64位系统上使用是反汇编工作必备的调试工具，基本已经完全取代了SoftICE，送给有需要的小伙伴参考借鉴。

ollydbg软件界面介绍

1、反汇编窗口

ollydbg在这里显示反汇编代码，我们将要以OllyDbg的默认配置调试分析你打开的程序。 调试选项可以在Options->Debugging options里更改。

2、寄存器

第二个重要的窗口——寄存器窗口。看一下这个在OllyDbg最右边的窗口，它出现了很多信息。

3、堆栈窗口

默认情况下，它显示ESP寄存器指向的信息（也是最重要的），但是你可以改变它的显示模式来显示来自涉及EBP的信息。这需要在这个窗口上点击右键，选择GO to EBP。再次点击右键选择Go to ESP，回到先前窗口。

4、数据窗口（dump）

默认的模式是最常用的，我们还可以改变它以显示反汇编代码(Disassemble)，文本（Text）和其它格式（Short，Long，Float）。现在我们了解了OllyDbg的最主要的四个窗口。还有一些窗口没有直接显示，可以通过菜单或控制面板上的图标按钮访问。

ollydbg中文版使用教程

一、修改字符串

1、打开ollydbg，载入目标程序，如下图。

2、在汇编窗口中点击鼠标右键，选中strfinder字符查找插件，选择搜索ascII字符串，如下图。

3、找到我们要修改的字符串，双击追踪到汇编窗口，如下图。

4、在汇编窗口中，点击鼠标右键，选择数据窗口中跟随，立即常数，如下图。

5、在数据窗口中，选择一段内存，不要超过了原来字符串的长度，点击鼠标右键，选择编辑--二进制编辑，如下图。

6、在编辑数据地址对话框中的mbcs栏输入我们的字符，如下图。

7、点击hex栏，在刚刚改过的字符后面输入00 00来截断字符串，点击确定，如下图。

8、点击鼠标右键，选择编辑--复制所有改变到可执行文件，如下图。

9、点击鼠标右键，点击保存文件，如下图 。

10、在弹出的文件已更改的提示中，选择是，如下图。

11、输入文件名，点击保存，如下图。

12、双击打开我们保存的程序，修改成功，结果如下图。

二、在ollydbg中设置断点

1、打开ollydbg，加载需要调试的程序，如下图。

2、找到我们需要下断点的地方，点击F2，这时在地址处就有红色表示，即为断点，如下图。

3、下完断点后，我们点击运行，工具栏上的三角符号，这时程序将运行到我们下断点的位置，这时我们可以看到内存数据和寄存器都有变化，如下图。

4、再次点击f2，可以取消断点，如下图。

5、如果我们想重新加载程序，我们可以点击工具栏的额后退按钮，如下图。

6、点击后，ollydbg会提示重新加载可执行文件，我们点击yes，如下图。

7、稍等片刻，将会加载完成，程序停在程序执行的入口，如下图。

软件功能

1、直观的用户界面，没有神秘的命令

2、代码分析-跟踪寄存器、识别过程、循环、API调用、开关、表、常量和字符串

3、直接加载和调试DLL

4、目标文件扫描-从目标文件和库中查找例程

5、允许用户定义标签、注释和功能描述

6、了解Borland格式的调试信息

7、在会话之间保存补丁，将其写回可执行文件并更新补丁

8、开放式架构-许多第三方插件可用

9、无需安装-注册表或系统目录中没有垃圾

10、调试多线程应用程序

11、附加到正在运行的程序

12、可配置的反汇编程序，支持MASM和IDEAL格式

13、MMX，3DNow！以及SSE数据类型和指令，包括Athlon扩展

14、完全支持UNICODE

15、动态识别ASCII和UNICODE字符串-也是Delphi格式！

16、识别复杂的代码构造，如调用跳转到过程

17、解码对超过1900个标准API和400个C函数的调用

18、从外部帮助文件中提供有关API函数的上下文相关帮助

19、设置条件、日志、内存和硬件断点

20、跟踪程序执行，记录已知函数的参数

21、显示修复

22、动态跟踪堆栈帧

23、搜索不精确的命令和掩码二进制序列

24、搜索整个分配的内存

25、查找对常量或地址范围的引用

26、检查和修改内存，设置断点并实时暂停程序

27、将命令汇编成最短的二进制形式

软件快捷键

OD界面-无论当前的OllyDbg窗口是什么，这些快捷键均有效： 

1、Ctrl+F2 - 重启程序，即重新启动被调试程序。如果当前没有调试的程序，OllyDbg会运行历史列表［historylist］中的第一个程序。程序重启后，将会删除所有内存断点和硬件断点。译者注：从实际使用效果看，硬件断点在程序重启后并没有移除。

2、F3 - 弹出“打开32位.EXE文件”对话框［Open 32-bit .EXE file］，您可以选择可执行文件，并可以输入运行参数。

3、F7 -单步步入到下一条命令，如果当前命令是一个函数［Call］，则会停在这个函数体的第一条命令上。如果当前命令是是含有REP前缀，则只执行一次重复操作。

4、F8 -单步步过到下一条命令。如果当前命令是一个函数，则一次执行完这个函数（除非这个函数内部包含断点，或发生了异常）。如果当前命令是含有REP前缀，则会执行完重复操作，并停在下一条命令上。

5、F9 - 让程序继续执行。

6、Ctrl+F11-Run跟踪步入，一条一条执行命令，进入每个子函数调用，并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。 

7、F12 - 停止程序执行，同时暂停被调试程序的所有线程。请不要手动恢复线程运行，使用继续执行快捷键或菜单选项（像 F9）。 

8、Alt+B - 显示断点窗口。在这个窗口中，您可以编辑、删除、或跟进到断点处。

9、Alt+C - 显示CPU窗口。

10、Alt+E - 显示模块列表［list of modules］。 

11、Alt+K - 显示调用栈［Call stack］窗口。 

12、Alt+L - 显示日志窗口。 

13、Alt+M - 显示内存窗口。

14、Alt+O - 显示选项对话框［Options dialog］ 

15、Ctrl+P - 显示补丁窗口。 

16、Ctrl+T - 打开 暂停 Run跟踪 对话框 

17、Alt+X - 关闭 OllyDbg。

更新日志

v2.01版本

1、对Ollydbg的窗口签名进行了更改，从而避免被针对性检测。

2、对Ollydbg的菜单做出调整。

3、针对一些有可能被检测的插件进行了删减。

4、修改了一些可能被检测的内容。

5、更新ollydbg的插件为目前较新的版本。