Как пользоваться ollydbg

К ак запустить сеанс отладки. Если эта программа требует каких-нибудь параметров командной строки, напечатайте их в поле внизу диалогового окна, или выберите одну из строк с параметрами, которые Вы использовали в предыдущих сеансах.

OllyDbg предупредит Вас, если Вы пытаетесь установить брейкпоинт вне раздела кода. Вы можете выключить это предупреждение в опциях Безопасности. В некоторых случаях Отладчик может вставлять собственные временные INT3 брейкпоинты.

Окно Дампа отображает содержимое памяти или файла. Вы можете выбирать один из нескольких определенных форматов: Все окна дампа поддерживают резервное копирование, поиск и функции редактирования. Область окна Дампа окна CPU позволяет Вам определять метки, устанавливать брейкпоинты на памяти, находить ссылкик данным в выполняемом коде и открытом изображении выбранной памяти в исполняемом файле.

Когда Вы нажмете F2 второй раз, брейкпоинт будет снят. Заметьте, что программа останавливается перед выполнением команды с установленным брейкпоинтом. Число INT3 брейкпоинтов, которые Вы можете установить, неограничено. Когда Вы закрываете отлаживаемую программу, или Отладчик, OllyDbg автоматически сохраняет брейкпоинты на диск. Никогда не пробуйте устанавливать этот тип брейкпоинта на данные или в середине команды!

OllyDbg может делать отладку автономных DLL. В этом случае OllyDbg создает и запускает маленькое приложение, которое загружает библиотеку и, по вашему запросу, вызывает экспортируемые функции.

Вы выбираете некоторую часть памяти в панелях Дизассемблер или Дамп в окне CPU и используете контекстное меню, чтобы установить брейкпоинт на память.

Заметьте, однако, что после того, как Вы закрываете OllyDbg, этот процесс тоже завершится. Никогда не пробуйте присоединяться к системному процессу, это может закончиться сбоем операционной системы. Честно говоря, в большинстве случаев OS не позволит Вам присоединяться к чувствительному процессу.

Меню Дампаотображает только относительный набор доступных команд. Другие кнопки на панели позволяют Вам изменять режимы дампа. Подобно окну Дизассемблер, Дамп сохраняет длинную историю посещенных местоположений памяти. Окно выполняемых модулей сочетание клавиш: Это окно также отображает полезную информацию, подобно размеру модуля, адресу входа, версии модуля или пути к исполняемому файлу.

Альтернативно, выберите меню File, а затем программу из истории. Конечно, Вы можете определить название отлаживаемой программы и ее параметры в командной строке при запуске OllyDbg. Например, Вы можете создать на рабочем столе ярлык, указывающий OllyDbg, выбрать Свойства, перейти к Ярлыку програмы, и добавить название программы в командную строку.

Вы устанавливаете его в окне Память на целом блоке памяти из контекстного меню или, нажимая F2. Этот брейкпоинт особенно полезен, если Вы хотите поймать вызов или возвращение к некоторому модулю. После того, как выполняется остановка, брейкпоинт удаляется. Вы можете остановить трассировку run trace , если EIP входит в некоторый диапазон или покидает другой диапазон, или некоторое условие истинно, или когда команда соответствует одному из указанных образцов, или когда команда является подозрительной, или после того, как прослежено указанное число команд.

Analyze all modules Анализировать все модули - позволяет анализироватьвсе модули сразу. Анализ извлекает полезную информацию из загруженного кода; отладка обычно проходит быстрее и намного надежнее, когда код проанализирован. Сделав двойной клик на строке, Вы перейдёте к выполняемому в модуле коду в панели Дизассемблера. Окно карты Памяти отображает все блоки памяти, используемые отлаживаемой программой.

Некоторая информация, например десятичный размер модуля, символическое название точки входа и т. Чтобы увидеть эти данные, увеличьте ширину соответствующих столбцов.

Это требует регистрации в системном реестре. Теперь, когда какое-нибудь приложение даст сбой, Вас спросят, хотите ли Вы произвести отладку этого приложения. Тогда операционная система запустит OllyDbg, который остановится непосредственно в точке, где произошёл сбой.

Нет никаких стандартных средств, чтобы выполнить эту задачу, так что может случиться, что OllyDbg объединит несколько частей распределенной памяти в одном большом блоке памяти. Однако в большинстве случаев нет необходимости в точной разрешающей способности. Чтобы получить список блоков памяти, запрашиваемых приложением через вызовы к GlobalAlloc , LocalAlloc и т. Если блок памяти - секция некоторого выполняемого модуля, OllyDbg сообщит, какой вид данных этот блок содержит: OllyDbg игнорирует атрибут copy-on-write.

Или, если Вы выбрали присоединение без подтверждения, OllyDbg запустится без всяких вопросов. Также существует другая возможность добавлять OllyDbg в контекстное меню, связанное с исполняемыми файлами в Проводнике Windows. Эта идея принадлежит JochenGerster. Эта опция создает 4 ключа в системном реестре:.

OllyDbg не поддерживает ресурсы как отдельный объект; все, что Вы можете сделать это сдампить ресурс и отредактировать его в бинарном виде. View resource strings Просмотреть строковые ресурсы - отображает список строковых ресурсов и их идентификаторы. View run trace profile Просмотреть профиль трассировки - вычисляет профиль для этого модуля.

Предыдущий брейкпоинт на память, если он был, будет автоматически удалён. У вас есть две доступные опции: Чтобы установить этот брейкпоинт, OllyDbg изменяет аттрибуты блоков памяти, содержащих выделение.

Однако, вероятность переполнения, вызванного неправильным условным брейкпоинтом очень высока главным образом из-за времени ожидания операционной системы. Для этой цели Вы можете использовать псевдопеременную MSG вместе с надлежащей интерпретацией параметров. Если окно активно, смотрите брейкпоинт сообщения, описанный ниже. Брейкпоинт с записью logging breakpoint такой же быстрый как и Брейкпоинт с условием сonditional breakpoint , и конечно намного легче просмотреть несколько сотен сообщений в окне журнала, чем нажимать F9 несколько сотен раз.

Если OllyDbg распознает, что программа распределила новый или перераспределила существующий блок памяти, то OllyDbg выделяет соответствующую запись в окне карты памяти.

Каждый раз, когда Вы дважды щелкаете этот ярлык, OllyDbg автоматически запустит вашу программу. Обратите внимание, что DLL не поддерживают командную строку. Вы можете присоединить OllyDbg к запущенному процессу.

OllyDbg может производить отладку консольных приложений на основе текста. OllyDbg не может отлаживать. Заметьте, что, если Вы используете Windows NT, или XP, Вам, вероятно, придется иметь права администратора, чтобы отлаживать программы. OllyDbg поддерживает несколько видов брэйкпоинтов:. Вы можете установить этот брейкпоинт, выбрав необходимую команду в панели Дизассемблер и нажав F2 , или из контекстного меню.

Когда Отладчик сталкивается с этим брейкпоинтом, он оценивает условие и если результат отличен от нуля, или условие недопустимо, останавливает отлаживаемую программу.

По умолчанию, системные модули - модули, которые постоянно находятся в системном каталоге обычно c: View executable file Просмотреть исполняемый файл - отображает дамп исполняемого файла. View all resources Просмотреть все ресурсы - отображает список всех ресурсов, определенных в модуле вместе с краткой информацией.

Контекстное меню поддерживает следующие опции:. Actualize - заново сканирует модули и убирает подсветку из новых модулей. В большинстве случаев, OllyDbg заботится о себе. View memory Просмотреть память - открывает окно Памяти и прокручивает его к первому блоку памяти, принадлежащему отображаемому модулю.

На 80xсовместимых процессорах память распределена и защищена в блоках по байт. Если Вы выбираете даже отдельный байт, OllyDbg должен будет защитить целый блок. Это может привести к возникновению множества ложных тревог с огромным переполнением. Используйте этот вид брейкпоинта с осторожностью. В отличие от брейкпоинта на память, аппаратные брэйкпоинты не замедляют скорость выполнения, но охватывают только до 4 байт. OllyDbg может использовать аппаратные брейкпоинты вместо INT3 при выполнении или сканировании кода.

Например, это может быть запрос к плагину командной строки, чтобы изменить содержимое регистра и продолжить. Вы можете установить его в окне Windows. Если Вы производите пошаговую трассировку hit trace, брейкпоинт будет удален, а адрес, будет помечен как пройденный, после того, как будет достигнута команда. Если Вы используете обычную трассировку run trace , OllyDbg добавит запись в журнал трассировки, а брейкпоинт останется активным. OllyDbg позволяет установку только одного брейкпоинта на память.

Обратите внимание, что эта опция может значительно до 20 замедлять скорость трассировки run trace. OllyDbg может также останавливать выполнение программы на некоторых событиях отладки, подобно загрузке или выгрузке DLL, запуску или уничтожению потока, или когда программа посылает отладочную строку debugstring.

Follow entry Перейти ко входу - следует за точкой входа в модуль в Дизассемблере. Отмечая модуль как системный Вы исключаете его из Трассировки, значительно ускоряя его выполнение.

Таким образом, Вы можете выбрать более подходящую интерпретацию для вашего условия. Вы можете устанавливать счетчик проходов - счетчик, который уменьшается каждый раз, когда выполняется условие остановки. Если счетчик прохода перед уменьшением не равен нулю, OllyDbg продолжит выполнение. Рассмотрим цикл loop , который выполняется Поставим брейкпоинт в середине и установим значение OllyDbg прервётся на последней итерации. В дополнение, условный брейкпоинт с записью conditional logging breakpoint позволяет Вам передать одну или несколько команд плагинам.