【最新】ollyDbg破解教程

【最新】ollyDbg破解教程 大多数壳都有一个共同的特点。在壳准备开始解压时都要执行PUSHAD，当壳解压 完时都要调用POPAD。到底PUSHAD和POPAD是什么干什么用的呢,其实PUSHAD是用来将 所有普通寄存器顺序进栈的指令，POPAD是所有普通寄存器顺序出栈指令。POPAD的出 栈顺序和PUSHAD相反。壳为了保护寄存器，便在解压前将所有寄存器进栈保护起来， 当解压完成后又将寄存器出栈，恢复其原貌，并将IP设置为原程序的OEP。这样我们就 可以通过这个特点快速脱掉多种软件的壳。 32位程序级的调试器,,ollyDbg,这个东东操作简便，提示信息量大，介绍一些简单的操作 快捷键: F3，装入程序 F8，单步执行，不进入call F9 (运行) F7,单步执行，进入call CTRL+F9,相当于trw2000的F12 ALT+F9,相关于trw2000的pmodule F2,设置断点(相当于trw2000的F9) CTRL+N(当前模块中的名称) F12(暂定) CTRL+F12(重新运行) CTRL+F11(跟踪进入) CTRL+T(设置条件) CTRL+F7(自动步入) CTRL+F8(自动步过) CTRL+F9(执行到返回) 另转的快捷键使用方法如下 OllyDbg 常用快捷热键 聆风听雨整理 =============================================================== 打开一个新的可执行程序 (F3) 重新运行当前调试的程序 (Ctrl+F2) 当前调试的程序 (Alt+F2) 运行选定的程序进行调试 (F9) 暂时停止被调试程序的执行 (F12) 单步进入被调试程序的 Call 中 (F7) 步过被调试程序的 Call (F8) 跟入被调试程序的 Call 中 (Ctrl+F11) 跟踪时跳过被调试程序的 Call (Ctrl+F12) 执行直到返回 (Ctrl+F9) 显示记录窗口 (Alt+L) 显示模块窗口 (Alt+E) 显示内存窗口 (Alt+M) 显示 CPU 窗口 (Alt+C) 显示补丁窗口 (Ctrl+P) 显示呼叫堆栈 (Alt+K) 显示断点窗口 (Alt+B) 打开调试选项窗口 (Alt+O) 窗口: 左上:代码区 左下:内存数据 右上:寄存器 右下:stack区 以下命令适用于 OllyDbg 的快捷命令栏插件(显示于程序的状态栏上方) ======================================================== CALC 判断 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 达式 WATCH 添加监视表达式 AT / FOLLOW Disassemble at address 在地址进行反汇编 orIG Disassemble at EIP 反汇编于 EIP DUMP Dump at address 在地址转存 DA Dump as disassembly 转存为反汇编代码 DB Dump in hex byte format 转存在十六进制字节格式 DC Dump in ASCII format 转存在 ASCII 格式 DD Dump in stack format 转存在堆栈格式 DU Dump in UNICODE format 转存在 UNICODE 格式 DW Dump in hex word format 转存在十六进制字词格式 STK Go to address in stack 前往堆栈中的地址 AS + 地址 + 字符串 Assemble at address 在地址进行汇编 L + 地址 + 字符串 Label at address 在地址进行标号 C + 地址 + 字符串 Comment at address 在地址进行注释 BP Break with condition 使用条件中断 BPX Break on all calls 中断在全部调用 BPD Delete break on all calls 清除位于全部调用的断点 BC Delete breakpoint 清除断点 MR Memory breakpt on access 内存断点于访问时 MW Memory breakpt on write 内存断点于写入时 MD Remove memory breakpoint 清除内存断点 HR HW break on access 硬件中断在访问 HW HW break on write 硬件中断在写入 HE HW break on execution 硬件中断在执行 HD Remove HW breakpoint 清除硬件断点 STOP Pause execution 暂停执行 PAUSE PAUSE RUN Run program 运行程序 Run till address 运行到地址 GE Run and pass exception 运行和通过例外 SI Step into 步入 SO Step over 步过 TI Trace in till address 跟踪进入直到地址 TO Trace over till address 跟踪步过直到地址 TC Trace in till condition 跟踪进入直到条件 TOC Trace over till condition 跟踪步过直到条件 TR Till return 直到返回 TU Till user code 直到用户代码 LOG View Log window 查看记录窗口 MOD View Modules window 查看模块窗口 MEM View Memory window 查看内存窗口 CPU View CPU window 查看 CPU 窗口 CS View Call Stack 查看 Call 堆栈 BRK View Breakpoints window 查看断点窗口 OPT Open Options 打开选项 EXIT / QUIT Quit OllyDbg 退出 OllyDbg OPEN Open executable file 打开可执行文件 CLOSE Close executable 关闭程序 RST Restart current program 恢复当前程序 HELP Help on API function API 函数的帮助 ASM Assemble (if command needs it's own addres, \"ASM COMMAND;ADDRESS\") 汇编 (如果命令需要自身的地址 \"ASM COMMAND;ADDRESS\") DASM Disassemble immediate opcode 反汇编直接的机器码 FR Find reference to selected command/address 查找参考到选定的命令/地址 AC Analyse code 分析代码 SN Search for Name(label) in current module 在当前模块中搜索名称(标号) SOB Scan object files 扫描项目文件 Name: ollydbg 命令行帮助文件.rar Size: 6071 B 此文件的引用地址为:up/1141912360.rar Name: OllyDbg-script v1.081命令中文解说.rar Size: 219473 B 此文件的引用地址为:up/1141912390.rar Ollydbg 中断方法 Quote: originally posted by dong at 2004-6-1 10:29 PM: 我问个问题 在od中怎么下断点呢?? 现在有的程序一点注册就没反映了 这样的怎么下断点呢?? 能介绍下什么情况下什么断点吗? 在转存中下硬件访问,>Word"断点，下断之后，怎么取消～ 9398944(老菜鸟) 11:09:59 alt+D 按H 然后删除 这个没有万能的方法，只能视具体情况而定，就我的经验而言: 第一步，反汇编找有用信息，有时候虽然点击注册按钮后，没有任何反映，但软件也许包含了可用的信息，比如"未注册"，"已注册"等等之类的，都可用做断点的。 第二步，如果反汇编也找不到有用信息，如果用OD可以下HMEMECPY断点，在每个调用的函数上下断，虽然这个法子太笨，但我试过，几乎有70%以上的机会可找到断点，找到断点后再慢慢跟吧!这只是个人的看法，关键只要找到断点，有什么办法都无所谓。 在命令行下bpx hmemcpy断点，然后回车，在每个调用的函数上下断。 有的程序甚至无法用API中断，可以在OD载入程序后上下翻动反汇编窗口查看字符串参考下断，在反汇编窗口里直接找到的，右键查找那里找不到 转发Ollydbg 中断方法浅探-各种断点常识知识 Ollydbg 中断方法浅探 ――国庆节小礼 Ollydbg是一个新的32位的汇编层调试软件。适应于windows98、me、2000、xp和2003操作系统。由于他具有图形窗口界面，所以操作方便、直观，是cracker的好工具。 由于Ollydbg没有了TRW2000的万能断点，所以许多的新手感觉到用Ollydbg断点不好找。现在我来的说说Ollydbg下中断的几种方法。本人是个菜鸟，水平有限，可能不能完整的写出来，也可能存在错误。请大家指正。 我所表述的是Ollydbg v1.09d中文版，其他版本和英文版下自己参考。 第一 寻常断点 Ollydbg中一般下中断的方法，就是在程序的地址处用鼠标选择这一行。然后按F2键，这时被选择的那一行的地址会变成别的颜色，就表示这个地址处下了中断。然后运行程序时只有到这个地址处就会被Ollydbg中断。 这个方法用的比较多，所以把他称作寻常断点。 如果有命令行插件，就可以在命令窗口中输入BPX xxxxxxxx 下断点。 优点:只要自己怀疑是重要的代码处都可以下这种下断点，不受条件的限制，所以方便实用。 缺点:如果不知道代码功能下断点具有盲目性。 第二 API断点 Ollydbg中一般下API中断的方法，有二种。 1. 在代码窗口中点鼠标右键，出现功能菜单。在[搜索]选择项下有〔当前模块的名称〕和〔全部模块的名称〕俩项，选择其中的一项就打开了程序调用API的窗口，在这个窗口中选择你要跟踪的API函数名。双击这个函数就能到程序的调用地址处。然后用F2下中断。也可以在API窗口中选择需要跟踪的函数点鼠标右键出现功能菜单，选择〔在每个参考设置断点〕。同样下了断点。 快捷方式:Ctrl+N 2. 在命令行窗口中输入BPX API函数名或者BP API函数名 后回车。这时出现了所有调用这个函数的地址的窗口，在这个窗口中可以看到调用这个API函数的地址已改变了颜色。说明下好了断点。 说明一下:BPX一般中断在程序调用API的地址处。BP会中断在API的写入地址处。二这有所不同，根据需要选择。 优点:这种方法下的断点是针对每一个API函数的，所以具有明确的目的。 缺点:关键的API函数不容易找到。所以有时下的断点没有作用。 第三 内存断点(跟踪关键数据的断点) Ollydbg中的内存断点相当于TRW中的bpm 断点。 下断点的方法是:在程序运行中断时选择界面中的转存窗口，用光标选择内存中的一段关键数据(颜色会改变)，然后右击鼠标出现功能菜单。选择〔断点〕项，其中有二个选择〔内存访问〕和〔内存写入〕。 〔内存访问〕断点是程序运行时要调用被选择的内存数据时就会被Ollydbg中断，根据这个特点在破解跟踪时只要在关键数据内存中下中断就可以知道程序在什么地方和什么时候用到了跟踪的数据。对于一些复杂算法和流程变态的算法跟踪有很大的帮助。从破解上讲，一个注册码的生成一定是由一些关键数据或者原始数据计算来的。所以在内存中一定要用到这些关键数据。那么〔内存访问〕断点就是最好的中断方法。 〔内存写入〕断点是程序运行时向被选择的内存地址写入数据时就会被Ollydbg中断。根据这个特点在破解时可以跟踪一个关键数据是什么时候生成的，生成的代码段在那个地方。所以一个关键的数据如果不知道他的由来就可以用〔内存访问〕断点查找计算的核心。 内存中断的下断点还有另外的一种方法:程序运行时如果知道关键的数据，比如我们输入的试验码、程序生成的序列号等。这时在内存中一定存在这些数据。用Alt+M打开内存窗口，在这个窗口中搜索知道的关键数据。用光标选择这些数据同样下内存中断，这种方法更容易找的关键的数据。 优点:断点是直接面向关键数据的，所以比较容易到核心部分。 缺点:内存断点重新运行后会消失，干扰比较多。 第四 硬件断点(跟踪关键标志的断点) 硬件断点是Olldbg所特有的断点，他不会因为重新运行就销毁，只要不删除。跟踪这个程序时就有效。但他在98系统下会不起作用。 硬件断点是根据关键标志回逆到关键代码的好方法。下中断的方法和内存断点的方法相同， 有三个方式〔硬件访问〕、〔硬件写入〕、〔硬件执行〕。一般用前2个。他也同样有内存断点的特性，所以可以用内存断点的地方也可以用硬件断点。这里介绍利用他来跟踪注册标志的使用方法，一般软件的注册都用到了标志比较。即在内存地址中有一个标志，在判断是不是注册时比较标志的值。不同的值表示不同的注册状态。这个标志的地址一般比较固定。根据这个特点可以下硬件断点来跟踪标志位是什么地方被标志的。 方法:在转存窗口中选择到标志存放的内存地址处，然后选择标志值。下〔硬件写入〕中断(根据标志的字节下不同的长度)。重新运行程序你会发现Ollydbg会不断的中断在这个标志的内存地址处。在功能菜单的〔调试〕选项下选择〔硬件断点〕就打开了硬件断点的窗口，在这个窗口中选择〔跟踪〕，这时转存窗口就会来到被下中断的内存地址处。运行程序跟踪内存地址中的值就会知道被赋标志的代码，跟踪到计算的核心。〔硬件访问〕的使用可以知道程序在运行时多少地方用到了这个注册标志。对于破解复杂效验的程序十分的有效。 直接在命令栏里下bh ****硬件断点 -------------------------------------------------------------------------------- OllyDbg 记住:工具栏的所有功能都能在菜单栏里找到,工具栏是菜单栏的快捷按钮(废话!) 各项详细功能我们在下面说! 再往下看有四个窗口他们是代码窗(左上),寄存器窗口(右上),内存窗口(左下)和堆栈窗口(右下) 2*菜单栏各项命令功能 *文件(F)----这些命令用说吗? &line;____注意**该菜单的下部有你上次打开的纪录,该纪录保存有你上次未清除的断点**注意** *查看(V)------这个菜单我只介绍一下我常用的,别的我不会!:-) &line;____执行模块(快捷键ALT+E):查看该程序使用的动态连接库(我的理解) &line; &line;____断点(快捷键ALT+B):这个是查看你所有的断点,(有时自己设到哪里都忘了,可以看一下)起到一个辅助功能. 我就会这么多!:-( *调试(D)-------这个菜单是关键,不明白你就别调试软件了!也只说常用的! &line;_______运行(F9)加载程序后,运行! &line; &line;_______暂停(F12) &line; &line;_______单步进入(F7)遇见CALL就进!进入该子程!行话:"跟进去" &line; &line;______单步跳过(F8)遇见CALL不进去!不去管子程的内部!第一次粗跟的时候常用! &line; &line;______执行到返回(ALT+F9)就是执行到该子程的返回语句! -------------------------------------------------------------------------------- Ctrl+F2---OllyDbg重置，重新开始调试。如果没有活动程序，OllyDbg装入历史列表中的第一个程序。OllyDbg重置会释放内存移除硬断点。 Alt+F2,,关闭被调试的程序。如果程序还在活动状态，你会被询问是否执行该操作。 F3,,显示"Open 32-bit .exe file"对话框，这里可以选择可执行文件和指定参数 Alt+F5,,使OllyDbg显示在屏幕最前方。如果被调试程序中断时显示窗口遮住OllyDbg的一些区域，不继续运行又不能移动或最小化它。激活OllyDbg按Alt+F5可以解决。如果你再次按Alt+F5，OllyDbg会恢复为普通窗口。OllyDbg的当前状态显示在状态栏。 F7,,step into，执行下一条简单命令。如果该命令是一个函数调用，进入调用函数内部。如果命令有REP前缀，执行该命令的一步操作。 Shift+F7,,与F7相同，除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。 Ctrl，F7,,animate into，一步一步执行程序，也进入函数调用(就象你一直按着F7，不过更快)。当你执行一些单步或继续命令，程序到达有效断点，一些异常发生时，Animation终止。每步执行，OllyDbg重画所有窗口。要加速animation，关闭所有窗口而不要只改变现有窗口的大小。终止animation，也可按Esc。 F8,step over，执行下一条简单命令。如果该命令是一个函数调用，立刻执行完该函数(除非函数内部有断点或产生异常)如果命令有REP前缀，执行所有重复操作，并停于下一条命令。 Shift+F8,,与F8相同，除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。 Ctrl+F8,,animate over，一步一步执行程序，但不进入函数调用(就象你一直按着F8，不过更快)。当你执行一些单步或继续命令，程序Animation到达有效断点或异常发生时，Animation终止。每步执行，OllyDbg重画所有窗口。要加速animation，关闭所有窗口而不要只改变现有窗口的大小。终止animation也可按Esc。 F9,,继续执行程序。 Shift+F9,,与F9相同。除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。 Ctrl+F11,,run trace into，一步一步执行程序，要进入函数调用，记录寄存器内容。Run trace 不重绘CPU窗口. F12-悬挂所有线程以停止程序执行。最好用继续键和菜单命令(像F9)恢复执行线程，而不要用其它手动方法恢复。 Ctrl+F12,,run trace over，一步一步执行程序，不进入函数调用，记录寄存器内容。Run trace不重绘CPU窗口。 ESC,,如果animation或跟踪正在进行，将被终止。如果CPU窗口显示跟踪时的数据，此时转为显示实际数据。 Alt+B,,打开或恢复Breakpoint窗口。这里可以编辑，删除和观察断点。 Alt+C,,打开或恢复CPU窗口。 Alt+E,,打开或恢复模块列表 Alt+E,,打开或恢复Call stack窗口。 Alt+L,,打开或恢复Log窗口。 Alt+M,,打开或恢复Memory窗口。 Alt+O,,打开Option对话框 Ctrl+P,,打开Patch窗口。 Ctrl+T,,打开Pause run trace对话框 Alt，X,中断OllyDbg。 多数窗口可以使用下列快捷键: Alt+F3,,关闭活动窗口。 Ctrl+F4,,关闭活动窗口。 F5,,最大化或恢复活动窗口。 F6,,激活下一个窗口。 Shift+F6,,激活前一个窗口。 F10,,打开激活窗口或面板的右键菜单。 LeftArrow,,左移一个字符。 Ctrl+LeftArrow,,左移一行。 RightArrow,,右移一个字符。 Ctrl+RightArrow,,右移一行。 -------------------------------------------------------------------------------- 软件破解常用汇编指令 cmp a,b // 比较a与b mov a,b // 把b值送给a值，使a=b ret // 返回主程序 nop // 无作用，英文(no operation)简写，意思"do nothing"(机器码90) (ultraedit打开编辑exe文件看到90相当汇编语句的nop) call // 调用子程序，子程序以ret结尾 je或jz // 相等则跳(机器码是74或84) jne或jnz // 不相等则跳(机器码是75或85) jmp // 无条件跳(机器码是EB) jb // 若小于则跳 ja // 若大于则跳 jg // 若大于则跳 jge // 若大于等于则跳 jl // 若小于则跳 pop xxx // xxx出栈 push xxx // xxx压栈 爆破无敌口诀 一条(跳)就死，九筒(90)就胡 (对应上面的2--修改为nop) 一条(跳)就胡，一饼(EB)伺候 (对应上面的1--修改为jmp) (74) 变(75) (84) 变 (85) 大家不懂不要紧，一定要先牢记，以后慢慢的理解。