ollydbg中文版(od反汇编工具) v2.01绿色版

我得说，ollydbg中文版这工具在逆向工程圈子里真的是个老熟人了，虽然现在有IDA这些更高级的家伙，但OD那种动态调试的直观感还是无可替代的。它那个BoOMBoX/TSRh2004的美化界面看着就舒服，不像原版那么简陋，而且它对32位和64位的支持都很到位，不管是新手还是老手，拿它来搞动态调试都特别顺手。最让我觉得贴心的是，它能随时插入全局标签，还能源码级调试和代码高亮，这对分析那些复杂的汇编代码帮助太大了，尤其是识别Borland和Microsoft的调试信息时，函数名、变量啥的都一目了然，省去了很多瞎猜的功夫。 软件运行时会自动加载链接库，让你直接调用输出函数，这设计真的很聪明，减少了出错概率，调试起来轻松不少。它自带的118脱壳脚本和各种插件更是神器，尤其在Windows平台上搞反汇编，基本成了必备工具，感觉它已经完全取代了SoftICE，如果你刚入门或者需要参考，这绝对是个好选择。界面介绍部分，反汇编窗口是核心，代码显示得清清楚楚，调试选项还能在Options里自定义；寄存器窗口在右边，信息量大但直观；堆栈窗口默认看ESP，想切EBP也简单，右键点几下就行；数据窗口模式多，能看反汇编、文本啥的，适应不同需求。这些窗口加起来，基本覆盖了调试的方方面面，其他隐藏窗口通过菜单也能轻松访问。 教程部分，修改字符串那套流程我试过，挺实用的。从载入程序开始，用strfinder插件搜ASCII字符串，找到后双击追踪，再在数据窗口编辑二进制，记得加00截断，最后保存到可执行文件，整个过程虽然步骤多，但一步步来不容易出错。设置断点更简单，F2一点就红，运行到断点看内存和寄存器变化，取消也方便，后退按钮还能重载程序，停在入口点继续调试。这些操作让我觉得OD真的很接地气，不像有些工具那么高冷。 功能上，OD的界面直观没那些神秘命令，代码分析能力超强，能跟踪寄存器、识别过程和API调用，直接加载DLL也行。它还支持用户自定义标签和注释，保存补丁写回文件，这点对长期项目特别有用。开放式架构让第三方插件丰富，不用安装不占注册表，调试多线程或附加运行中程序都没问题。反汇编程序可配置，支持MASM和IDEAL格式，连MMX、SSE这些指令都全覆盖，UNICODE识别也很全面，动态找ASCII和UNICODE字符串，甚至Delphi格式都能搞定。它能解码上千个API调用，提供上下文帮助，断点类型多样，跟踪记录参数，显示修复和堆栈帧动态查看，搜索命令和内存引用也灵活。汇编成最短二进制形式这点，优化代码时特别省心。 快捷键是OD的灵魂，Ctrl+F2重启程序，F3打开文件，F7单步步入、F8单步步过、F9继续执行，这些基本操作让我调试时手不离键盘，效率高。F12暂停所有线程，Alt+B看断点，Alt+C CPU窗口，Alt+E模块列表，Alt+K调用栈，Alt+L日志，Alt+M内存，Alt+O选项，Ctrl+P补丁，Ctrl+T暂停Run跟踪，Alt+X关闭，这些组合键用熟了，调试起来行云流水。更新日志里v2.01版本改了窗口签名防检测，菜单调整，删减插件，更新内容，这让我觉得开发者很用心，工具在不断进化，适应现在的环境。 总的来说，ollydbg中文版真是逆向工程的利器，界面友好、功能强大、教程详细，适合各种调试场景。我用它时总觉得它像个老朋友，可靠又灵活，如果你在搞软件分析或破解，这工具绝对值得深入玩玩，参考这些教程能少走不少弯路。

ollydbg中文版是当前逆向工程主流的一款od反汇编工具，界面采用 BoOMBoX/TSRh2004 制作的美化界面，是目前为止最流行的调试解密工具。该软件适合32位64位动态调试，调试过程可随时插入全局标签，并且支持源码级调试和代码高亮功能，可以识别所有 Borland 和 Microsoft 格式的调试信息，包括源代码、函数名、标签、全局变量、静态变量。软件会自动运行一个可执行程序，这个程序会加载链接库，并允许您调用链接库的输出函数，这样减少了出错的可能性，使调试工作更加容易。不仅如此，ollydbg本身附带了118脱壳脚本和各种插件，能够支持Windows平台下的32/64位系统上使用是反汇编工作必备的调试工具，基本已经完全取代了SoftICE，送给有需要的小伙伴参考借鉴。

ollydbg软件界面介绍

1、反汇编窗口

ollydbg在这里显示反汇编代码，我们将要以OllyDbg的默认配置调试分析你打开的程序。 调试选项可以在Options->Debugging options里更改。

2、寄存器

第二个重要的窗口——寄存器窗口。看一下这个在OllyDbg最右边的窗口，它出现了很多信息。

3、堆栈窗口

默认情况下，它显示ESP寄存器指向的信息（也是最重要的），但是你可以改变它的显示模式来显示来自涉及EBP的信息。这需要在这个窗口上点击右键，选择GO to EBP。再次点击右键选择Go to ESP，回到先前窗口。

4、数据窗口（dump）

默认的模式是最常用的，我们还可以改变它以显示反汇编代码(Disassemble)，文本（Text）和其它格式（Short，Long，Float）。现在我们了解了OllyDbg的最主要的四个窗口。还有一些窗口没有直接显示，可以通过菜单或控制面板上的图标按钮访问。

ollydbg中文版使用教程

一、修改字符串

1、打开ollydbg，载入目标程序，如下图。

2、在汇编窗口中点击鼠标右键，选中strfinder字符查找插件，选择搜索ascII字符串，如下图。

3、找到我们要修改的字符串，双击追踪到汇编窗口，如下图。

4、在汇编窗口中，点击鼠标右键，选择数据窗口中跟随，立即常数，如下图。

5、在数据窗口中，选择一段内存，不要超过了原来字符串的长度，点击鼠标右键，选择编辑--二进制编辑，如下图。

6、在编辑数据地址对话框中的mbcs栏输入我们的字符，如下图。

7、点击hex栏，在刚刚改过的字符后面输入00 00来截断字符串，点击确定，如下图。

8、点击鼠标右键，选择编辑--复制所有改变到可执行文件，如下图。

9、点击鼠标右键，点击保存文件，如下图 。

10、在弹出的文件已更改的提示中，选择是，如下图。

11、输入文件名，点击保存，如下图。

12、双击打开我们保存的程序，修改成功，结果如下图。

二、在ollydbg中设置断点

1、打开ollydbg，加载需要调试的程序，如下图。

2、找到我们需要下断点的地方，点击F2，这时在地址处就有红色表示，即为断点，如下图。

3、下完断点后，我们点击运行，工具栏上的三角符号，这时程序将运行到我们下断点的位置，这时我们可以看到内存数据和寄存器都有变化，如下图。

4、再次点击f2，可以取消断点，如下图。

5、如果我们想重新加载程序，我们可以点击工具栏的额后退按钮，如下图。

6、点击后，ollydbg会提示重新加载可执行文件，我们点击yes，如下图。

7、稍等片刻，将会加载完成，程序停在程序执行的入口，如下图。

软件功能

1、直观的用户界面，没有神秘的命令

2、代码分析-跟踪寄存器、识别过程、循环、API调用、开关、表、常量和字符串

3、直接加载和调试DLL

4、目标文件扫描-从目标文件和库中查找例程

5、允许用户定义标签、注释和功能描述

6、了解Borland格式的调试信息

7、在会话之间保存补丁，将其写回可执行文件并更新补丁

8、开放式架构-许多第三方插件可用

9、无需安装-注册表或系统目录中没有垃圾

10、调试多线程应用程序

11、附加到正在运行的程序

12、可配置的反汇编程序，支持MASM和IDEAL格式

13、MMX，3DNow！以及SSE数据类型和指令，包括Athlon扩展

14、完全支持UNICODE

15、动态识别ASCII和UNICODE字符串-也是Delphi格式！

16、识别复杂的代码构造，如调用跳转到过程

17、解码对超过1900个标准API和400个C函数的调用

18、从外部帮助文件中提供有关API函数的上下文相关帮助

19、设置条件、日志、内存和硬件断点

20、跟踪程序执行，记录已知函数的参数

21、显示修复

22、动态跟踪堆栈帧

23、搜索不精确的命令和掩码二进制序列

24、搜索整个分配的内存

25、查找对常量或地址范围的引用

26、检查和修改内存，设置断点并实时暂停程序

27、将命令汇编成最短的二进制形式

软件快捷键

OD界面-无论当前的OllyDbg窗口是什么，这些快捷键均有效： 

1、Ctrl+F2 - 重启程序，即重新启动被调试程序。如果当前没有调试的程序，OllyDbg会运行历史列表［historylist］中的第一个程序。程序重启后，将会删除所有内存断点和硬件断点。译者注：从实际使用效果看，硬件断点在程序重启后并没有移除。

2、F3 - 弹出“打开32位.EXE文件”对话框［Open 32-bit .EXE file］，您可以选择可执行文件，并可以输入运行参数。

3、F7 -单步步入到下一条命令，如果当前命令是一个函数［Call］，则会停在这个函数体的第一条命令上。如果当前命令是是含有REP前缀，则只执行一次重复操作。

4、F8 -单步步过到下一条命令。如果当前命令是一个函数，则一次执行完这个函数（除非这个函数内部包含断点，或发生了异常）。如果当前命令是含有REP前缀，则会执行完重复操作，并停在下一条命令上。

5、F9 - 让程序继续执行。

6、Ctrl+F11-Run跟踪步入，一条一条执行命令，进入每个子函数调用，并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。 

7、F12 - 停止程序执行，同时暂停被调试程序的所有线程。请不要手动恢复线程运行，使用继续执行快捷键或菜单选项（像 F9）。 

8、Alt+B - 显示断点窗口。在这个窗口中，您可以编辑、删除、或跟进到断点处。

9、Alt+C - 显示CPU窗口。

10、Alt+E - 显示模块列表［list of modules］。 

11、Alt+K - 显示调用栈［Call stack］窗口。 

12、Alt+L - 显示日志窗口。 

13、Alt+M - 显示内存窗口。

14、Alt+O - 显示选项对话框［Options dialog］ 

15、Ctrl+P - 显示补丁窗口。 

16、Ctrl+T - 打开 暂停 Run跟踪 对话框 

17、Alt+X - 关闭 OllyDbg。

更新日志

v2.01版本

1、对Ollydbg的窗口签名进行了更改，从而避免被针对性检测。

2、对Ollydbg的菜单做出调整。

3、针对一些有可能被检测的插件进行了删减。

4、修改了一些可能被检测的内容。

5、更新ollydbg的插件为目前较新的版本。