OD反匯編工具

Ollydbg是反匯編工作的常用工具，是目前為止最流行的調試解密工具，OD附帶了200脫殼腳本和各種插件，功能非常強大，支持Windows平臺下的32/64位系統(tǒng)上使用，調試過程可隨時插入全局標簽，過程直觀簡練，已經完全取代了SoftICE，減少了出錯的可能性，使調試工作更加容易。

OllyDbg軟件簡介

OD，是一個反匯編工具，又叫OllyDebug，一個新的動態(tài)追蹤工具，將IDA與SoftICE結合起來的思想，Ring 3 級的調試器，己代替SoftICE成為當今最為流行的調試解密工具了。同時還支持插件擴展功能，是目前最強大的調試工具?；旧希{試自己的程序因為有源碼，一般用vc，破解別人的程序用OllyDebug。

OllyDbg軟件功能

源碼級調試

ollydbg(od反匯編工具)可以識別所有 Borland 和 Microsoft 格式的調試信息。這些信息包括源代碼、函數名、標簽、全局變量、靜態(tài)變量。有限度的支持動態(tài)(棧)變量和結構。

線程

ollydbg(od反匯編工具)可以調試多線程程序。因此您可以在多個線程之間轉換，掛起、恢復、終止線程或是改變線程優(yōu)先級。并且線程窗口將會顯示每個線程的錯誤(就像調用 GETLASTERROR 返回一樣)。

調試DLLs

您可以利用OllyDbg調試標準動態(tài)鏈接庫(DLLs)。OllyDbg 會自動運行一個可執(zhí)行程序。這個程序會加載鏈接庫，并允許您調用鏈接庫的輸出函數。

啟動

您可以采用命令行的形式指定可執(zhí)行文件、也可以從菜單中選擇，或直接拖放到OllyDbg中，或者重新啟動上一個被調試程序，或是掛接[Attach]一個正在運行的程序。OllyDbg支持即時調試，根本不需要安裝，可直接在軟盤中運行!

代碼高亮

ollydbg(od反匯編工具)的反匯編器可以高亮不同類型的指令(如：跳轉、條件跳轉、入棧、出棧、調用、返回、特殊的或是無效的指令)和不同的操作數(常規(guī)[general]、FPU/SSE、段/系統(tǒng)寄存器、在棧或內存中的操作數，常量)。您可以定制個性化高亮方案。

名稱

ollydbg(od反匯編工具)可以根據 Borland 和 Microsoft 格式的調試信息，顯示輸入/輸出符號及名稱。Object 掃描器可以識別庫函數。其中的名稱和注釋您可任意添加。如果DLL中的某些函數是通過索引號輸出的，則您可通過掛接輸入庫[import library]來恢復原來的函數名稱。不僅如此，OllyDbg還能識別大量的常量符號名(如：窗口消息、錯誤代碼、位域[bit fields]…)并能夠解碼為已知的函數調用。

已知函數

ollydbg(od反匯編工具)可以識別 2300 多個C 和Windows API 中的常用函數及其使用的參數。您可以添加描述信息、預定義解碼。您還可以在已知函數設定 Log斷點并可以對參數進行記錄。

支持的處理器

ollydbg(od反匯編工具)支持所有 80x86、奔騰、MMX、3DNOW!、Athlon擴展指令集、SSE指令集以及相關的數據格式，但是不支持SSE2指令集。

配置

有多達百余個選項用來設置OllyDbg 的外觀和運行。

數據格式：OllyDbg 的數據窗口能夠顯示的所有數據格式：HEX、ASCⅡ、UNICODE、 16/32位有/無符號/HEX整數、32/64/80位浮點數、地址、反匯編(MASM、IDEAL或是HLA)、PE文件頭或線程數據塊。

運行環(huán)境

ollydbg(od反匯編工具)可以以在任何采用奔騰處理器的 Windows 95、98、ME、NT 或是 XP(未經完全測試)操作系統(tǒng)中工作，但我們強烈建議您采用300-MHz以上的奔騰處理器以達到更好效果。還有，OllyDbg 是極占內存的，因此如果您需要使用諸如追蹤調試[Trace]之類的擴展功能話，建議您使用128MB以上的內存。

函數調用

ollydbg(od反匯編工具)可以在沒有調試信息或函數過程使用非標準的開始部分[prolog]和結尾部分[epilog]的情況下，對遞歸調用進行回溯。

常用快捷鍵

F2：設置斷點，只要在光標定位的位置按F2鍵即可，再按一次F2鍵則會刪除斷點。

F8：單步步過。每按一次這個鍵執(zhí)行一條反匯編窗口中的一條指令，遇到 CALL 等子程序不進入其代碼。

F7：單步步入。功能同單步步過(F8)類似，區(qū)別是遇到 CALL 等子程序時會進入其中，進入后首先會停留在子程序的第一條指令上。

F4：運行到選定位置。作用就是直接運行到光標所在位置處暫停。

F9：運行。按下這個鍵如果沒有設置相應斷點的話，被調試的程序將直接開始運行。

CTR+F9：執(zhí)行到返回。此命令在執(zhí)行到一個 ret (返回指令)指令時暫停，常用于從系統(tǒng)領空返回到我們調試的程序領空。

ALT+F9：執(zhí)行到用戶代碼?？捎糜趶南到y(tǒng)領空快速返回到我們調試的程序領空。

使用教程

1、反匯編窗口

ollydbg(od反匯編工具)在這里顯示反匯編代碼，我們將要以OllyDbg的默認配置調試分析你打開的程序。 調試選項可以在Options->Debugging options里更改。

2、寄存器

第二個重要的窗口——寄存器窗口?？匆幌逻@個在OllyDbg最右邊的窗口，它出現了很多信息。

3、堆棧窗口

默認情況下，它顯示ESP寄存器指向的信息（也是最重要的），但是你可以改變它的顯示模式來顯示來自涉及EBP的信息。這需要在這個窗口上點擊右鍵，選擇GO to EBP。再次點擊右鍵選擇Go to ESP，回到先前窗口。

4、數據窗口（dump）

默認的模式是最常用的，我們還可以改變它以顯示反匯編代碼(Disassemble)，文本（Text）和其它格式（Short，Long，Float）?，F在我們了解了OllyDbg的最主要的四個窗口。還有一些窗口沒有直接顯示，可以通過菜單或控制面板上的圖標按鈕訪問。