OD软件断点原理

最新推荐文章于 2025-09-16 09:32:31 发布
原创 最新推荐文章于 2025-09-16 09:32:31 发布 · 4.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了调试工具OllyDbg如何利用INT3指令设置断点,以及为何在内存中看到的指令未变化。实际上,Ollydbg通过临时替换指令来实现断点,待执行到断点时,会先修复原指令,再执行,确保不破坏代码完整性。同时,文章探讨了断点修改与恢复的时机,解释了如何在不影响程序执行的情况下实现断点功能。

文章目录


软件断点即 int 3----l调试器利用 EXCEPTION_BREAKPOINT异常实现断点功能。

int 3

设置断点命令对应的汇编指令为INT3,对应的机器指令的也就是0xCC。CPU运行代码的过程中若遇到汇编指令INT3,则会触发EXCEPTION_BREAKPOINT异常。在OllyDbg调试器某个地址设置断点后,确定该地址处的指令是否真会变为INT30xCC)?

OD

在这里插入图片描述
接下来我们查看以下数据窗口,
在这里插入图片描述
查看到设置断点的地方,该地址处的指令并未变成INT3(汇编指令),也并未"6A“变成”CC"(机器指令),为什么跟我们想的不一样呢?

解释
其实,这是Ollydbg耍的一个小花招,由于Ollydbg中按F2设置的断点是用户用来调试的临时断点(User Temporary Break Point),所以不需要在调试画面中显示。在代码与内存中显示出来的话,大大降低了代码的可读性,给代码调试带来不便。换言之,实际进程内存中0x1003E21的“6A”已经换成“CC”,但为了调试方便,所以呢,OD就没有显示出来。我们只需要把这个程序dump出来,然后放进Hex_Editor查看一下这个位置的数据即可。

偏移问题:
此程序的Imagebase为100000,所以VA1003E21对应的RVA3E21RVA=VA-Imagebase)。由于dump程序是直接由这个程序进程内存转储而来的,所以RVA就是RAW(文件偏移量)

Hex_Editor

在这里插入图片描述
在这里插入图片描述
偏移为3E21处的“6A”已经换成“CC”

补充

问题一:,改成int 3,那不就破坏了原来的指令的完整性吗?
后来,我又仔细想了想,改成int 3,那不就破坏了原来的指令的完整性吗?而且不改回来,那后面指令解析那就全变了,指令对齐那些,直接影响一大片,也就是以后设置断点还得找nop地方才能设置?可事实却根本不是这样。。

问了一下大佬,这个问题解释是这样的:它会先把下断点的位置的前一句代码改成int 3 然后 等到运行到这里时,再把它改回来

问题二:什么时机改回来?
然后我又想:啥时候改回来?而且改回来这个时机 既能 引发断点异常,又能 不改变原来的指令解析?碰到int 3 ,引发异常了,说明把int 3执行完了,然后它有改回来?那它再改回来已经没意义了吧????它已经执行完那个点了,然后再改回来那个地方的指令,确定没影响????

这个问题解释是这样的:先,调试器把断点处的第一个字节改成0XCC,当接收到继续运行的消息时,调试器会先把这个int 3断点修复成原来的字节,然后会执行eip-1这个操作,把int 3改掉的代码继续执行,好家伙,有eip-1的话,那么就很正常了

小甲鱼解密系列调试篇——OD使用教程笔记(持续更新中)
06-10 7739
一、修改内容 二、
Ollydbg使用指南
热门推荐
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 1万+
Ollydbg基本操作的汇总
【Windows 逆向】OD 调试器工具 ( OD 调试数据时硬件断点对应的关键代码 | 删除硬件端点恢复运行 )
男神的专栏
12-18 1225
文章目录前言一、OD 调试数据时硬件断点对应的关键代码二、删除硬件端点恢复运行前言在 【Windows 逆向】OD 调试器工具 ( CE 中获取子弹动态地址前置操作 | OD调试指定地址的数据 ) 博客中介绍了如何在 OD调试指定地址 , 本篇博客中对相关操作进行指定;一、OD 调试数据时硬件断点对应的关键代码在 数据面板 中 , 右键点击指定地址 , 选择 " 断点 / 硬件访问 / Dword " 选项 , 设置硬件断点 ,
软件断点
qq_41490873的博客
07-16 474
软件断点原理是:再目前进程的某一行代码开头的位置,把硬编码改为0xCC. CPU在执行到这里的时候就会触发INT 3号断点,去执行IDT表的3号处理程序。如果有调试器,就回把异常转发给调试器处理。 // VEHXXXX.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <stdlib.h> DWORD Th
OD 各种断点的实现原理
wangjiabin2007的专栏
07-20 5030
在网上看到好多介绍OD断点原理的文章受益匪浅,主要是前辈LenusMa写的。看完之后,也有一点自己的想法,并且通过实验验证,首先介绍有几种被使用的断点:1、Int3 断点(CC断点),运行到指令cc就产生int3中断。2、硬件断点,通过调试寄存器DR,DR寄存器只能够存放4个地址
android硬件断点,硬件断点原理 ---- OD各种断点原理
weixin_39541189的博客
05-26 1008
1.前言在我跨入OllyDbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点,内存断点,硬件断点有什么区别,他们为什么有些时候不能混用,他们的原理是什么,在学习了前辈们的文章以后,终于明白了一些东西。希望这篇文章能让你对硬件断点原理和使用有一些帮助2.正文--------------------------------------------------i.硬件...
逆向---OD断点类型
peng05的博客
12-20 2087
1. INT3断点(CC断点) 设置方式:直接按F2键或使用bp命令设置。 原理:当执行一个INT3断点时,该地址处的内容被调试器用INT3(机器码是0xCC)指令替换。OllyDbg隐藏INT3指令,显示出来的仍然是中断前的指令。当调试进程执行INT3指令导致一个异常时,调试器会捕捉这个异常,从而停在断点处,然后将断点处的指令恢复成原来的指令。 优点:可以设置无数个断点。 缺点:改变了机器码,容易被软件检测到。 2. 硬件断点 设置方式:右键单击要断点的位置,选择“Breakpoint”-&gt
检测OD断点开源-易语言
06-11
描述中的“原理就是类似虫子”可能是指该程序采用了某种类似于蠕虫病毒的方式去探测OD断点。蠕虫通常指在网络中自我复制并传播的恶意软件,但在这里,它被用来形象地描述了该项目的检测机制。可能项目通过模拟OD的...
精选资源
OD.zip_od_od软件_od软件开发
09-22
在压缩包文件"OD.zip"中,可能包含了OD软件的安装程序或者更新版本,以及可能的一些使用教程、插件、示例项目等资源。对于初学者来说,这些资料可以帮助他们快速上手并掌握OD的使用。而熟练的OD用户则可能从中找到新...
OD的一些断点解释
06-08
OD的一些断点解释很好的资料,新手可以收藏,对破解软件入门有很大的帮助
od 练习程序
08-27
od的使用练习程序 没有壳 设置断点的地方是vbastrcomp
only debug (OD软件
03-17
很好用的OD软件,灵活性高,很适合大家使用!
OD版本2.0 汉化版本
11-20
OD版本2.0 汉化版本纯汉化 纯属共享资源里面还附带了部分插件值得
OD完美教程
02-04
OD是一个专门用来调试软件,该教材能够让你更加对OD爱不释手 更更能够让你快速掌握OD的基本用法
od脱壳软件破解工具
09-22
但愿大家互相进修进修,大家对于破解都不是很了解,人们想学破解,可是去无从入手,所以决议为大家写1个破解初级读物的教程,但愿能大家了解破解有一些帮忙,但愿能有更多的人踏入破解的大门   1.低级,修改步伐,用ultraedit等东西修改exe文件,称暴力破解,略称爆破   中级,追出软体的注册码   高级,开具注册机   2.经常使用破解东西   (1)侦壳东西:PEiD   (2)消息联合的OllyDbg引领破解东西的新潮水   一,此刻咱们起首来进修下破解的开端,爆破~   1.侦壳   要破解1个软体起主要做的就是侦壳,要侦壳就要对壳有绝对似的了解,家喻户晓,软体作者用编程语言编著好软体后,是将它编译成扩展名为EXE的可执行文件编译为EXE的目的有两点:   (1)有一些版权信息需要掩护起来,不克不及让别人随心改动,如作者的姓名、软体名称等;   (2)需要给步伐"瘦身",从而利便存储、使用以及网上传道输送   为了编译,会用到一些软体它们能将可执行文件压缩以及对信息加密(图1),实现上面所说的两个功效,这些个软体称为加壳软体为软体加上的东东就称为"壳"加壳软体差别于一般的WinZIP、WinRAR等打包类压缩软体加壳软体是压缩可执行文件的,压缩后的文件可以直接运行   最多见的加壳软体有3个:ASPACK 、UPX、PEcompact终究它们是主流,据计数,用它们加壳的软体约占市面所有软体的90%!其它不经常使用的加壳软体有ASPROTECT、PETITE 、NEOLITE、TELOCK等软体最多见的编程语言是Delphello,Visual Basic(略称VB),Visual C++(略称VC)了解些编程的常识,会让破解更加轻车熟道   底下来讲侦壳,此刻比力经常使用侦壳软体就PeiD,他具备华美的图形界面外壳整合(新增到鼠标右键)功效令使用更加利便,撑持拖放操作配置时,务请将"扩展到鼠标右键"打上对号   其使用要领是,鼠标点住XX.exe,按鼠标右键,选"使用PEid扫描"便可;"壳"的信息就显示在底部   2.破解东西OD   有关OD的先容我把他放到附件里了,这个是看雪论坛的先容,是比力周全的,至少我感觉比我写的要好,所以大家根据他可以大好的了解OD   3.爆破实例   爆破是破解的开端,所说的爆破,就是指路程经过过程修改可执行文件的源文件,降临达相应的目的你半大白?呵呵,举个例子好了,好比说某同享软体,它比力用户输入的注册码,要是用户输入的,跟它路程经过过程用户名(或其它)算出来的注册码相等的话(也就是说用户输入的注册码不错了),那末它就会跳到注册乐成的处所去,不然就跳到堕落的处所去   大白过来了吧,咱们只要找到这个跳转指令,把它修改成咱们需要的"造型",如许,咱们是否就可认随心所欲了?   一,破解时经常使用的汇编指令如下,汇编较弱者可先强行违住,以后就可逐步理解了   cmp a,b //比力a与b   mov a,b //把b的值送给a,使a=b   ret //归回主步伐   nop //无效用,英文"no operation"的简写,意思是"do nothellong"(呆板码90) (解释:ultraedit打开编辑exe文件时瞅见90,等同于汇编语句nop)   call //挪用子步伐,子步伐以ret末端   je 或jz //若相等则跳(呆板码74 或0F84)   jne或jnz //若不相等则跳(呆板码75或0F85)   jmp //无前提跳(呆板码EB)   jb //若小于则跳   ja //若大于则跳   jg //若大于则跳   jge //若大于等于则跳   jl //若小于则跳   jle //若小于等于则跳   pop xx //xx出栈   push xx //xx压栈   更为具体的指令请查阅汇编册本   4.破解常见修改,参看表1   汇编指令修改 相应的呆板码修改(路程经过过程16进制编辑器实现)   jnz/jne->nop 75->90   jnz/jne -> jmp 75-> EB   jz/je->nop 74->90   jz/je -> jmp 74-> EB   jnz -> jz 75->74 或 0F 85 -> 0F 84   jz -> jnz 74->75 或 0F 84 -> 0F 85   jnz -> jz 75->74 或 0F 85 -> 0F 84   je-> jne 74->75 或 0F 84 -> 0F 85   表1
OD三种断点原理
紫晓暮雾的博客
04-14 2010
原出处:http://blog.youkuaiyun.com/cbh84663973/article/details/22310099 (1)int 3断点,即cc断点,这是一种基于软中断机制断点,3为中断号。OD中,当你在代码区某行按F2即可实现,其机理是把所在代码的第一个字节保存到一张表上,然后将其修改为CC,当程序运行到此代码时,就会产生中断,从而转至中断服务程序。当你去除断点时,OD会从表里
调试断点原理之普通断点
BenChang的专栏
04-21 6683
OD调试器分析不同断点的区别: 普通断点原理:直接改写断点内存地址的第一个字节,替换为int3 (0xcc,软中断机制),并保存原始字节至OD维护的一张断点表处。程序运行到此处时会中断,抛出异常,OD通过捕获该异常,暂停程序运行至断点内存地址处(断点处指令仍未执行),当执行断点处指令时,并不是完全从内存中取指令,因为该断点内存中的第一个指令已经被改写为0xcc,因此,此时执行的指令是由断
破解入门(八)-----算法分析与注册机编写
系统运维
06-18 1078
【文章标题】:算法分析与注册机编写 【文章作者】:hahaya 【软件名称】:FreeInternetWindowWasher 【软件大小】:1177KB 【保护方式】:注册码 【软件介绍】:无 【下载地址】:http://download.youkuaiyun.com/detail/qiurisuixiang/4378781 【加壳方式】:无壳 【编写工具】:BorlandDelphi6.0...
OllyDbg逆向工程调试神器——OD编码软件实战指南
最新发布
weixin_35935514的博客
09-16 1898
OD(OllyDbg)是一款广受逆向工程师和安全研究人员青睐的动态调试工具,以其强大的汇编级分析能力著称。自20世纪90年代末问世以来,OD在漏洞挖掘、恶意代码分析和软件调试等领域发挥了关键作用,尤其擅长对无源码程序进行行为追踪与逻辑还原。其核心价值在于提供直观的反汇编视图、灵活的断点控制和丰富的插件扩展,成为连接程序底层行为与高级分析的桥梁,是逆向工程实践中不可或缺的利器。OllyDbg 的强大不仅在于其原生的调试功能,更体现在其开放的插件架构上。
OD修改软件
Web安全工具库
04-13 3937
一、打开软件,查看正常运行的程序 二、打开OD,拖入要调试的程序 三、分析汇编代码 title是"Hello world",内存地址是0x00403000 四、数据窗口跳转到该地址,快捷键ctrl+G 五、修改数据 点击要修改的地方,按空格键,把保持大小的钩去掉,输入我们要修改的内容,点击确定,修改数据后会变成红色 六、点击运行,快捷键F9,让程序跑起来,程序已被修改 七、OD窗口介绍 1、汇编代码对应的地址窗口 2、汇编代码对应的十六进制机器码窗.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值