ollydbg入门教程

ollydbg教材

1、 一、OllyDBG 的安装与配置

2、 OllyDBG 的发布版本为 ZIP 压缩包形式，解压至任意目录后，运行 OllyDBG.exe 即可启动程序。汉化版则以 RAR 压缩包形式提供，同样只需解压到一个文件夹中，然后直接运行 OllyDBG.exe 即可使用。以下是网管论坛的下载地址：http://www.bitsCN.com/softs/58565.html。

3、 OllyDBG 各个窗口的功能如上图所示。以下对各个窗口的功能作简单说明，更详细的内容可以参考 TT 小组翻译的中文帮助文档：

4、 1. 反汇编窗口：用于显示被调试程序的反汇编代码。标题栏中的地址、HEX 数据、反汇编代码和注释可以通过右键菜单中的界面选项进行切换，选择隐藏标题或显示标题。点击注释标签可以切换注释的显示方式。

5、 2. 寄存器窗口：显示当前所选线程的 CPU 寄存器内容。通过点击标签寄存器 (FPU)，可以切换寄存器的显示方式。

6、 3. 信息窗口：显示反汇编窗口中选中的第一条指令的参数，以及一些跳转目标地址和字符串等信息。

7、 4. 数据窗口：用于显示内存或文件的内容。右键菜单可用于调整显示方式。

8、 5. 堆栈窗口：显示当前线程的堆栈信息。

9、 如果需要调整上述窗口的大小，只需用鼠标左键按住边框并拖动即可。调整完成后，重新启动 OllyDBG，设置将生效。

10、 启动程序后，我们需要将插件和 UDD 的目录配置为绝对路径。点击菜单中的选项 -> 界面，会弹出一个界面选项的对话框。在该对话框中，点击目录标签：

11、 例如，如果我将 OllyDBG 解压到 F:OllyDBG 目录下，则按照图示配置相应的 UDD 目录和插件目录。另一个常用的标签是字体，在这里可以更改 OllyDBG 中显示的字体样式。其他选项可以保留默认值，如有需要也可以自行修改。

12、 完成修改后点击确定，系统会提示我们更改了插件路径，需要重新启动 OllyDBG。在弹出的对话框中点击确定，重新启动程序后，再次进入界面选项查看，原先设置的路径已保存。

13、 有些人可能知道插件的作用，但对 UDD 目录不太了解。这里简单解释一下：UDD 目录的作用是保存你的调试工作记录。例如，当你调试某个软件时，设置了断点或添加了注释，如果一次未完成调试任务，OllyDBG 会自动将这些工作保存到 UDD 目录中，以便下次调试时能够继续之前的工作。

14、 为了保持整洁，建议专门设置一个目录用于保存 UDD 文件。如果未指定此目录，OllyDBG 会默认将其安装目录作为存储这些扩展名为 udd 的文件的位置，时间一长就会显得杂乱无章。此外，还有一个重要选项是调试设置，可以通过菜单中的选项 -> 调试设置进行配置。对于新手来说，通常不需要更改这里的设置，因为默认值已经可以满足基本需求，可以直接使用。建议在对 OllyDBG 熟悉之后再根据需要调整相关配置。上面提到的异常标签中的选项在脱壳过程中经常用到，因此建议在具备一定调试基础后再进行相关配置。

15、 除了直接启动 OllyDBG 进行调试外，还可以将它添加到资源管理器的右键菜单中，这样就可以通过在 .exe 或 .dll 文件上点击右键并选择用 Ollydbg 打开来快速启动调试。要实现这一功能，只需点击菜单中的选项 -> 添加到浏览器，随后会弹出一个对话框。在该对话框中，先点击添加 Ollydbg 到系统资源管理器菜单，然后点击完成按钮即可。如果需要从右键菜单中移除 OllyDBG，操作也很简单：在同样的对话框中，点击从系统资源管理器菜单删除 Ollydbg，接着点击完成即可完成操作。

16、 OllyDBG具备插件功能，使用非常便捷。只需将下载的插件（通常为DLL文件）复制到OllyDBG安装目录下的PLUGIN文件夹中，软件启动时便会自动加载。需要注意的是，OllyDBG 1.10版本对插件数量有限制，最多支持32个，超出可能会导致错误，因此建议适量添加插件即可。至此，基本配置已经完成。OllyDBG会将所有配置信息保存在安装目录下的ollydbg.ini文件中，便于用户随时查看和调整设置。

17、 OllyDBG 提供了三种主要方法来加载程序以进行调试。第一种是通过点击菜单栏中的文件->打开（快捷键为 F3），直接加载一个可执行文件进行调试；第二种是选择文件->附加，将调试器附加到一个已经运行的进程上，需要注意的是，这里的程序必须处于运行状态才能附加成功；第三种方式则是通过右键菜单加载程序（这种方式是否算作独立方法尚存争议）。通常情况下，我们更倾向于使用第一种方式。

18、 例如，当我们需要调试一个名为 test.exe 的程序时，可以通过文件->打开菜单项将其加载到 OllyDBG 中。此时，调试窗口会显示如下内容：

19、 在实际调试过程中，以下几个快捷键是常用的工具：

20、 - F2：用于设置或取消断点。只需将光标定位到目标位置（如上图中灰色条处），按下 F2 即可设置断点，再次按下 F2 则会删除该断点。这一功能类似于 SoftICE 中的 F9。

21、 - F8：单步步过。每次按下此键，程序会执行反汇编窗口中的一条指令，但遇到 CALL 等子程序调用时不会进入其内部代码，而是直接跳过。这与 SoftICE 中的 F10 功能一致。

22、 - F7：单步步入。与 F8 类似，但它会在遇到 CALL 等子程序时进入其内部代码，并停留在子程序的第一条指令上。这一点类似于 SoftICE 中的 F8。

23、 - F4：运行至选定位置。程序会直接运行到光标所在位置并暂停，方便快速到达目标代码段。这相当于 SoftICE 中的 F7。

24、 - F9：继续运行。如果未设置任何断点，按下此键后，被调试程序将直接正常运行。这类似于 SoftICE 中的 F5。

25、 - CTR+F9：执行至返回。当程序执行到一条 ret（返回指令）时暂停，通常用于从系统函数返回到用户程序代码中。这与 SoftICE 中的 F12 功能类似。

26、 - ALT+F9：执行至用户代码。它可以帮助快速从系统函数领空返回到用户程序代码中，适用于处理复杂调用链的情况。这一功能类似于 SoftICE 中的 F11。

27、 以上提到的快捷键基本可以满足日常调试需求。调试流程通常包括以下步骤：首先设置好断点，然后找到感兴趣的代码段，最后通过按 F8 或 F7 键逐条分析指令的功能，从而深入理解程序行为。今天就先介绍到这里，后续有机会再继续补充相关内容。