Tips of Ollydbg 查看调用堆栈、交叉引用

最新推荐文章于 2025-10-02 15:20:25 发布
原创 最新推荐文章于 2025-10-02 15:20:25 发布 · 5.8k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Tips of OllyDBG

本文详细介绍使用OllyDbg(OD)进行软件调试的高级技巧,包括利用ALT+K查看调用堆栈,CTRL+K追踪函数调用关系,以及CTRL+R进行交叉引用查找,帮助读者深入理解程序执行流程。

0) ALT+K 查看调用堆栈

使用od破解软件时,经常会用到栈回溯的方法,假设我们现在所在main个函数的入口点
在这里插入图片描述
使用alt+k来查看此函数的父级调用
在这里插入图片描述
堆栈调用窗口显示的每一行,代表从上一层函数,进入当前函数的入口,这个功能缺点就是只能在程序运行到某个函数中,并且断下来后,才能使用。

1) CTRL+K

假设我们有这样的需求,我不想运行到某个函数,只想查看该函数的调用关系。

  • 我想知道谁调用了它?
  • 我想知道它又调用了哪些函数?

这时候使用CTRL+K可以清楚的看到某个函数的上一层,以及这个函数内部调用了那些方法
在这里插入图片描述
还是以main函数为例,我们看到:

  • 第一列 显示的是main函数的上一层函数是谁
  • 第二列 显示的是当前的函数
  • 第三列显示的是当前函数内部调用了那些函数

在任意一列,双击,可以把双击的那一列,作为当前函数,进一步追踪。假设我双击了test.CDemo::CDemo这个函数
在这里插入图片描述

2) CTRL+R 交叉引用

我们知道,IDA中有个很强大的功能,就是查看某个函数或者变量的交叉引用。同样OD中也这样的功能
我在main函数的入口点,按下CTRL+R,可以看到谁引用了这个函数入口的地址。
在这里插入图片描述

假设我在内存窗口,看到有个重定位的变量地址,先选中它,然后按下CTRL+R
在这里插入图片描述

我可以找到所有引用这个常量的地方,同理,字符串常量也可以。
在这里插入图片描述

dll资源调用查看.zip_dll_对话框_查看dll中资源_查看资源_资源调用
09-24
查看DLL中的资源,可以借助一些工具,如Resource Hacker、Visual Studio的Resource Explorer或OllyDbg等调试器。这些工具可以帮助开发者查看和编辑DLL中的资源,包括对话框定义、字符串表、图标等。 3. **对话框...
浅谈汇编中的堆栈
1匹黑马
02-14 2313
文章目录什么是堆栈查看程序的堆栈使用程序的堆栈push指令(压栈)pop指令(出栈)总结 什么是堆栈 程序执行过程中要使用的一块内存 是程序的心脏,所有的关键数据都会在这里边出现 与数据结构的堆栈无关 查看程序的堆栈 把程序拖到OD里,在命令行输入dd (FS对应的地址)即可。 程序在使用堆栈的时候,是从顶部往底部存储,空间也就会越存越小,直到存不下的时候,它就崩溃了,这或许就是堆栈溢出吧...
小甲鱼 OllyDbg 教程系列 (十二) : inline patch ( 内嵌补丁 ) 之 调用堆栈查找法
freeking101的博客
11-20 581
小甲鱼OD教程:https://www.bilibili.com/video/av6889190?p=20 堆栈调用方法 程序运行后,直接断点到 004DC0D1这个位置,按F8一直没反应,打开程序,可以看到neg窗口, 点击exit ,关闭neg窗口,发现程序开始往下走 可以断定,断点位置的 call调用就是neg窗口的过程: 既然找...
函数嵌套调用堆栈回溯
最新发布
这是一个c++热爱者的博客哟
10-02 595
在x86架构下,仅通过寄存器无法直接获取完整调用链,因为每个栈帧只能通过EBP指针访问其直接调用者的信息。在func3入口处,EBP寄存器仅存储func2的栈帧信息,要获取更上层调用者(func1和main)的信息,必须通过EBP链逐级回溯。这是由x86的函数调用约定决定的,每个栈帧的EBP都指向调用者的EBP,形成一个链式结构,因此需要手动遍历这个链才能获取完整的调用堆栈
4.8 x64dbg 学会扫描应用堆栈
优快云
07-10 5792
LyScript 插件中提供了针对堆栈的操作函数,对于堆的开辟与释放通常可使用`create_alloc()`及`delete_alloc()`在之前的文章中我们已经使用了堆创建函数,本章我们将重点学习针对栈的操作函数,栈操作函数有三种,其中`push_stack`用于入栈,`pop_stack`用于出栈,而最有用的还属`peek_stack`函数,该函数可用于检查指定堆栈位置处的内存参数,利用这个特性就可以实现,对堆栈地址的检测,或对堆栈的扫描等。
OllyDBG使用
tianxiajianling的专栏
07-30 6513
OllyDBG基本操作 1)        查找调用的API 函数。在 OllyDBG 的反汇编窗口中右击鼠标,在弹出菜单中选择 查找->当前模块中的名称 (标签),或者我们通过按 CTR+N 组合键也可以达到同样的效果,界面输入可搜索。右键菜单可下断点 2)        查找引用字符串。反汇编窗口中右击,出来一个菜单,我们在 查找->所有参考文本字串 上左键点击 3)
ddd调试像ollydbg一样显示堆栈内容
凡人凡居
09-26 1141
这个功能可能对于逆向惯了人来说是不可缺少的。我找了很久,以前弄好过一次,很久没弄了,这下又弄好了,希望csdn不要倒闭,要不又丢了资料了。不说废话了。直接view->点击data window,出现一个空白窗口右键->new display, 填入`x /32xw $esp`,注意"`"是tab键旁边那个,意思是每单步一下执行这个命令,这个命令就是在esp寄存器往高处打印32个内存单元的内容,bi
OLLYDBG查看源代码
09-21
OLLYDBG的强大之处在于其丰富的调试特性,如断点设置、内存查看、寄存器跟踪、反汇编视图、图形化调用堆栈以及对原生API调用的监控。通过这些工具,逆向工程师可以分析恶意软件的行为、查找漏洞或优化代码。尽管对于...
如何在OllyDBG中设置断点、查看和修改寄存器值以及利用堆栈窗口追踪函数调用?请详细描述操作步骤。
10-26
以下是如何在OllyDBG中进行断点设置、寄存器查看与修改以及利用堆栈窗口进行函数调用追踪的详细步骤。 参考资源链接:[OllyDBG安装与配置详解:界面设置与UDD功能解析]...
找游戏Call之另类方法:查看堆栈
01-14 4510
本人非此文作者,从QQ中复制而来。原文出自何处实在不在知。作者见了不允则请留言,我会在第一时间删除     Call的找法一直都是个不大不小让人头痛的问题,需要大量的汇编代码分析,还需要很多测试工作,当然还有一种变态的方法,那就是用OD断下后,把前前后后所有的call都测试一边,也能找到关键call,不过面对大量的call和无数次挂游戏,恐怕这个方法只能在理论上实现了。     那么是否有
Ollydbg使用技巧
Leo的历练之道
03-13 6443
声明:本文中的知识点均来自小甲鱼的《OD使用教程-调试篇》,在此向小甲兄表示深深的感激,让我走进了逆向的世界。有兴趣的朋友可以观看该视频教程。在此奉上小甲鱼的官方论坛地址:http://bbs.fishc.com/forum.php。 1.NGA窗口去除的方法: 对于windows的对话框窗口的定位有一个技巧,就是通过资源管理器之类的工具先找到窗口的ID。然后在代码块中搜索命令push 0xI
OllyDBG 破解入门教程
weixin_41454036的博客
09-11 4268
原链接:https://www.cnblogs.com/ECJTUACM-873284962/p/7653285.html 一、OllyDBG 的安装与配置 OllyDBG 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可: OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考 TT 小组翻译的中文帮助: 反汇编窗口:显示被调试
OllyDbg基础教程
whl0071的专栏
02-20 8500
工具栏 各种窗口切换 1.日志窗口(L): 2.模块窗口(E):查看每个模块的内存基址 3.内存窗口(M):查看每一个模块的段,所占用的内存区域 4.线程窗口(T):线程信息 5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息 6.句柄(H): 7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要 8.补丁窗口(/): 9:堆栈窗口(K):可以查看调用堆栈,调试时堆栈回溯—很重要 10.断点窗口(B):所有的F2断点都显示在这里 11.参考( R):比如如
OllyDbg中如何找出B模块中所有调用了A模块的C方法的地方
JUST DO IT.
04-18 2519
首先我们要知道如果是调用本模块方法,知道该方法在本模块的输出地址后,按下ctrl+s,输入call 函数地址,即可找到。但如果是调用其他模块方法的话必须多做一些事情。 下面以寻找xx模块所有调用了bdertl60模块的FlushBuffers方法地方为例。 首先找到FlushBuffers方法在xx模块中的地址:0133A49C xx  .idata     输入       
恶意代码分析-第九章-OllyDbg
每昔的博客
08-06 1419
目录   笔记 实验 Lab 9-1 Lab 9-2 Lab 9-3 笔记 加载文件: 执行代码: Execute till Return -> 在当前函数返回时暂停执行 -> CTRL-F9 Execute til User Code ->从库函数中出来回到user code -> ALT-F9 单步跳过陷阱:               0...
第二十四课_堆栈图4
ELaXiaoSi的博客
11-04 350
前言 这篇文章也说画堆栈图,不过内容跟之前的差不多,如果已经理解前面画堆栈图的内容,这篇文章大可不看。这篇文章只能说是对前面的巩固吧。其实本id之所以写这篇文章,只是想写写JCC。 因为只是想写写JCC,所以画堆栈图部分写得可能会比较简陋。 说明:可执行exe和源码已经放网盘,地址在文末。 具体步骤 1、把下载的yiDaChengXuYuan_stack4.exe拖到OD中打开。按Ctrl+G,在弹出的对话框中输入“401098”,在定位到的行按F2设置断点,然后点击上方蓝色的小三角按钮,让程序运
Reverse | Ollydbg之调试工具学习
qq_42646885的博客
07-19 680
1、OD的CPU窗口 打开OD。OD的默认主界面是CPU窗口。CPU窗口由5个子窗口(面板)组成,分别是反汇编窗口,信息窗口,寄存器窗口,数据窗口堆栈窗口。没有载入程序时,所有窗口都是空的。 通过OD菜单——>文件——>打开(或者快捷键F3)选择一个可执行程序文件(EXE、COM、DLL文件都可以)打开,可以看到OD加载可执行程序时的界面状态。 【1】CPU窗...
OllyDBG
风如激的博客
07-20 1776
http://blog.163.com/hlz_2599/blog/static/142378474201341210104368/ 一、OllyDBG 的安装与配置 OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可:
使用OllyDbg调试独立DLL及函数调用详解
首先,你可以直接将DLL文件拖放到OllyDbg界面上,OllyDbg调用loaddll.exe并传递DLL的全路径作为参数,随后DLL被加载并在DllEntryPoint处暂停。这样,你就可以设置断点,对启动代码进行运行或跟踪。 在DLL初始化...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值