ollydbg

6.比较和跳转指令 (1)cmp eax,ecx 相当于sub eax,ecx 但不保存结果到第一个操作数。 根据结果改变零标志位(Z)。相等时，零标志位置1。 根据结果正负改变符号标志位(S)。运算结果为负时，置为1。 cmp允许寄存器与byte、word、dword类型的内存单元做比较。 eg:cmp ax,word ptr ds:[405000] (2)test 两个数值进行与操作，结果不保存，改变相应标志位 eg:test eax,eax 这个指令可以确定eax是否为0 (3)关于寻找跳转，容易忽略提示框中的本地调用来自xxx。 7.call、ret (1)ret指令不仅仅可用于子程序的返回，eg: 12 push 401256ret 等价于 1 jmp 401256 (2)改变程序代码后，反汇编界面右键重新分析。(否则分析可能出错，如栈中信息没有分析出函数间调用。) 8.循环、字符串指令和寻址方式 (1)loop [lable] 等价于 cx=cx-1 若cx!=0 转到lable loopz/loope 等价于cx=cx-1 若cx!=0且zf=1 转到lable loopnz/loopne 等价于cx=cx-1 若cx!=0且zf=0 转到lable (2)movs 从一个地址向另一个地址复制数据。源地址保存在ESI寄存器中,目的地址保存在EDI寄存器中。

a at asm ac a address,string – Assemble at address at address – Disassemble at address asm string – Assemble ac – Analyse code s stk stop si so sn sob s – Step into stk address – Go to address in stack stop – Pause execution si – Step into so – Step over sn – Search for Name(label) in current module sob – Scan object files d dump da db dc dd du dw dasm d address – Dump at address dump address – Dump at address da [address] – Dump as disassembly db [address] – Dump in hex byte format dc [address] – Dump in ASCII format dd [address] – Dump in stack format du [address] – Dump in UNICODE format dw

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 一、前言 对于安全研究人员来说，调试过程中经常会碰到反调试技术，原因很简单：调试可以窥视程序的运行“秘密”，而程序作者想要通过反调试手段隐藏他们的“秘密”，普通程序需要防止核心代码被调试逆向，恶意代码需要隐藏自己的恶意行为防止被跟踪。就像病毒和杀软的关系一样，为了顺利的逆向分析，有反调试手段就有对应的破0解方法-反反调试。对此，天融信阿尔法实验室研究人员总结了各类常见反调试手段以及对应的绕过方案，作为总结希望与君共勉。 关于各种反调试手段，网络上和各种安全书籍上都有对应的介绍、各种调试工具插件已经集成了反调试功能，但有的只是介绍了反调试方法，并没有对应的破0解方式，有的反调试手段已经失效。本文并不是研究新的反调试方法，而是对windows平台的反调试技术进行分类总结，并介绍其原理和应对方法。 合理的分类有助于学习和理解各种反调试技术的原理，由于理解不同，分类也不尽相同。当你掌握了这些技术后，可以按照自己的理解重新给它们分类。本文按照静态反调试方法与动态反调试方法将反调试技术分为两大类，其中静态反调试技术的分类原理为：程序启动时，系统会根据正常运行和调试运行分配不同的进程环境，通过检测进程环境来检测进程是否处于调试状态;根据逆向人员的工作环境和程序的正常运行环境不同，可以通过检测调试器或逆向分析工具实现反调试