ollydbg

原文链接： http://www.cnblogs.com/renyinyi/archive/2012/04/14/2446695.html 　　１、用PEID等工具查看程序有没有加壳，一般都会有壳的，有专用脱壳工具的就省得麻烦了，直接用工具搞定。没有的话就只能在Ollydbg等动态调试工具中手动脱壳了，先到Google或是百度上搜索一下有没有前人脱类似壳的例子。具体过程不多说了。 　　delphi反编Delphi程序delphi反编译ded译dede２、运行脱壳后的程序，看有无自校验 2. 12岁创业CEO田众和之谜c语言编程软件视频(1) ，有的话要先解除。一般是在Ollydbg中下CreateFileA、GetFileSize、ReadFile等断点来找到程序的自校验处，可以同时开两个Ollydbg来分别调试脱壳前后的程序，找到关键跳转处修改之。对于一些的程序要考虑使用代码Patch技术，即在壳解压完进入OEP前一刻运行自己的patch代码 上海高等研究院筹信息科学与技术研究部招聘启事c语言编程软件视频 ，此是后话。 　　３、标题中提到了Delphi程序，该是DeDe出场了 2012年4月12日 ，它强大的反编译功能我无法用语言描述，用过的人都知道。用DeDe反编译脱壳后的程序，如果不出意外很容易就能看到和Delphi源程序结构类似的汇编代码。通过它很快就能确定各个菜单

I don't really understand how to get around IsDebuggerPresent. I think I am supposed to find the registers used for debugging and then set it to 0 to trick IsDebuggerPresent, but I don't know how to do that. I tried searching around Google, and even tried a few solutions but it didn't really work for me. Could someone please explain to me how this should work and how I can bypass this? There are many ways to do it. As you said, it's possible to patch the program's thread block. Here is a tutorial, how to get around IsDebuggerPresent, by simply patching this function so it always returns 0. 1)

this is fourth day I am trying to figure out how to break down an exe. Still having no luck, file is giving debugger error right after it is runned. I am using OllyDBG, it seems that file is either compressed or contains big ammount of data. I think it is just for debugging protection, however I can not get it working. I am trying to learn assembly and this is my "new level" achievment of getting better in testing applications. All I want to change is one text to other, inside the file exe. So this is one variable change. I would be satisfied even with simple number change inside it. Just want

用OllyDbg爆破一个小程序 一、TraceMe小程序 TraceMe是对用户名、序列号判断是否合法的一个小程序。我们任意输入一组用户名、序列号进行check判断，结果如下： 其注册算法主函数源代码如下： BOOL GenRegCode( TCHAR *rCode, TCHAR *name ,int len) { int i,j; unsigned long code=0; for(i=3,j=0;i<len;i++,j++) { if(j>7) j=0; code+=((BYTE)name[i])*Table[j]; } wsprintf(name,TEXT("%ld"),code); if(lstrcmp(rCode, name)==0) return TRUE; else return FALSE; } 二、用OllyDbg对编译后的exe文件进行分析 用OllyDbg软件载入TraceMe.exe文件：如下： 找到关键代码处： 其二进制代码和对应的汇编代码如下： 85C0 TEST EAX,EAX; eax=0表示注册失败，eax=1表示注册成功 74 37 JE SHORT TraceMe.004011F3;如果不成功则进行跳转 那么我们只需要在此处进行干涉，不让其进行跳转，那么就表示注册成功。我们只需要把二进制代码改为nop nop，即90 90即可。 如下所示：

我的工程实践选题跟CTF比赛有关，因此，我选取了三种CTF常用工具：Ollydbg(OD),IDA Pro,objdump。 1. 这些软件的开发者是怎么说服你（陌生人）成为他们的用户的？他们的目标都是盈利么？他们的目标都是赚取⽤户的现⾦么？还是别的？ I DA Pro是一个静态反编译软件； OllyDbg是动态反汇编工具，附带了脱壳脚本和各种插件；objdump是在类Unix操作系统上显示关于目标文件的各种信息的命令行程序，可用作反汇编器来以汇编代码形式查看可执行文件。 这三个工具都因为在做题练习的时候要用到，所以开始使用的。其中IDA Pro是商业软件，但是可以下载免费版本或演示/评估版本，但是免费版本有一些限制。objdump和OD则是免费使用。 2. 这些软件是如何到你手里的（邮购，下载，互相拷贝、在线使用……） IDA pro和OD是从官网直接下载的，objdump是在Linux终端安装的。 3. 这些软件有Bug 么？又是如何更新新版本的？ Bug应该有吧，但我自己的使用过程中还没发现。IDA pro,OD的新版本都可以在官网找到。objdump在Linux终端用update更新就可以。 4. 此类软件是什么时候开始出现的，同⼀类型的软件之间是如何竞争的？ 发展趋势如何？ IDA pro IDA 由Ilfak Guilfanov创建的共享应用程序

笔者有幸参与一次CTF入门级的出题，在此记录一下WP 1、测试你得手速 1、用IDA打开程序 找到单击次数， 获取全局变量地址。 打开程序 打开OllyDbg attcach后在左下角按CTRL+N 跳到004099F0内存地址 右击下硬件写入断点。 然后按F9运行 然后单击Click 将其改成19999的16进制 然后再摁F9 2、简单密码题 UPX脱壳 用IDA逆向后 记下base64编码的地址 打开x64dbg 加载后 按F9后将RIP修改成401530 然后按F9将base64编码打印出来 如下所示 复制下来后新建个html 然后打开 来源： https://www.cnblogs.com/godoforange/p/11531221.html

安装过程： 官网下载安装即可，打开对应的压缩文件里面有help文档，会告诉怎么安装，大概解压缩就好了，exe文件发送个快捷方式到桌面，注意设置以管理员身份运行。 初步了解： help文档可以帮助了解，但是我下载的是全英文的，看起来有些慢，暂时没时间细看。 找到了一篇文章： https://www.cnblogs.com/baiyanhuang/archive/2012/06/10/2543997.html 是关于如何使用OllyDbg进行破解的文章。 这里有一些学习过程，和一些快捷键的使用技巧。 记住一些快捷键与增加效率的做法： 1. Alt+B: 断点窗口， space来toggle断点 2. Ctrl + F9：运行到return，非常有用，因为你需要看完某个信息后退回到父函数 3. F7, F8, F9，调试 4. RMB + Follow In Dump： 看内存内容 5. RMB +　Edit/Binary Edit: 修改内存内容 6. Alt + E: view modules 7. RMB + Show Names: 显示所有函数名称 8. 返回父函数的方法，除了Ctrl+F9, 还是就是选中函数第一条指令，在info窗口有父函数地址，RMB跳转即可 来源： https://blog.csdn.net/qq_43633973/article/details

http://www.ollydbg.de/version2.html 来源： https://www.cnblogs.com/chucklu/p/11376519.html

0x00 介绍 本题是xctf攻防世界中Reverse的新手第十一题。题目来源： CSAW CTF 2014 给了一个二进制文件csaw2013reversing2.exe，需要对该二进制文件进行逆向分析，找到flag 实验环境：IDA Pro 7.0，gdb 本题考查的是反调试， IsDebuggerPresent函数 ， int 3中断 0x01 解题过程 1.1 文件分析 windows下的可执行文件，32位 root@kali:~/hzy/ctf-learning # file csaw2013reversing2.exe csaw2013reversing2.exe: PE32 executable ( console ) Intel 80386, for MS Windows root@kali:~/hzy/ctf-learning # 1.2 逆向分析 在windows下运行该文件，发现是一坨乱码， = =|| 能知道的就只有 Flag 、 中止 、 重试 和 忽略 四个字符串，在这里我先在IDA和Ollydbg里搜索字符串Flag，找到引用它的地方。[ebp-0xC]是乱码字符串的起始地址 并且在IDA中可以发现基本块0x40108C ⇒ 0x401094处，调用了数据段ds(Data Segment)的 IsDebuggerPresent 函数