【飞郁2022新课程】31 - OD更多技巧

上一节课,给大家介绍OD的一些基本的使用方法,当然OD不仅仅只有这些功能和指令,这节课咱们就来更深入的了解一下OD

对命令行插件进行操作

首先我们来了解一下数据窗口的命令行插件都支持哪些命令

之前说了DD是在数据窗口中查看一个地址,其实这只是将数据用堆栈格式转存,是不是和堆栈窗口的结构很像?其实还有一个命令是dump,他和dd的效果是类似的

还有几种转存方式我们来看下

DA,转存为反汇编代码

DB,转存为十六进制字节格式

DC,用ASCII转存

还有很多很多,下面我们就不截图了,简单来说下

DU,用UNICODE型转存

DW,用十六进制字词格式转存,也就是WORD型

BP,进行条件中断

BC,清除断点

MR,内存访问断点

MW,内存写入断点

MD,清除内存断点

HR,硬件访问断点

HW,硬件写入断点

HE,硬件执行断点

HD,清除硬件断点

我们前期学习常用的命令就只有这些,更多的命令大家可以到网上搜索一下,还有很多很多

对数据窗口进行操作

我们在数据窗口中随便找一个数据,点右键

在这里,可以对数据进行二进制编辑,复制等操作,

这个功能主要是用于一次性复制和写入一些较长的内存数据

还可以对某个地址以某个数据类型下断点

我们可以看到,这里可以下5种断点,而硬件访问和写入可以下3种数据类型的断点,

如果我们用xllydbg调试64位的程序,还会多出一个QWORD的访问类型,这个我们放到后面去说

还有一些其他常用功能,比如修改,数据窗口中跟随等等,这些就是数据窗口的主要操作方式

反汇编窗口

反汇编窗口主要体现的是内存的代码段,我们先点击alt+E,或者点击上面的"E"按钮

可以来到模块窗口,我们直接选择代码所在的模块双击,可以调到模块所在代码段

来到这个界面以后点击ctrl+A可以分析整个模块的代码,这个过程根据模块大小需要不同的时间.

在反汇编窗口中点右键,可以看到很多选项,对代码段大部分的操作都可以在这里实现,比如

右键-查找可以用来查找注释,常量,命令,二进制字串等信息

在断点中也可以设置F2断点,条件断点,硬件执行断点等等

根据OD加载的插件不同,我们能够使用的功能也会有一些变化.

调用堆栈窗口

当我们对一个地址下F2断点后,可以点击菜单下面的

来查看函数的调用关系

如何取看这个窗口我们会在后面课程中讲解

以上就是初学者需要了解的一些OD的使用技巧,更加深入的内容我们会在后面的课程中一一介绍