Tips of Ollydbg 搜索内存

最新推荐文章于 2025-06-08 18:58:44 发布
最新推荐文章于 2025-06-08 18:58:44 发布
阅读量2.2k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: OllyDBG Tips
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cssxn/article/details/84678074
本文探讨了堆喷技术在研究IE内存申请的BSTR内存字符串中的应用,介绍了三种有效的内存搜索方法:使用ImmunityDebugger加mona插件、windbg的搜索命令以及OD自带的内存搜索命令。这些技术对于深入理解内存管理和调试复杂应用程序至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近来研究堆喷相关的技术,再实验查看IE内存申请的BSTR内存字符串时,总找不到那个BSTR结构的字符串。

CORELAN官方在堆喷揭秘这篇文章中给出了两种搜索内存方法,一种是使用 Immunity Debugger 加mona插件

!mona find -s "CORELAN!" -unicode -x *

第二种是windbg的搜索命令

s -u 0x00000000 L?0x7fffffff "CORELAN!"

第三种,使用OD自带的内存搜索命令CTRL+B,但是要在内存布局页面使用,才能发挥出它的强大。

在这里插入图片描述

od内存搜索
03-24
内心搜索器 是可以搜索内存机制的美女搜易大家可以下安装啊
Ollydbg查看内存数据并修改
小龙在线
09-28 2094
IDE: Intel CPU是小端序 首先通过搜索目标字符串,双击定位到,F2下断点。
WinDebug查看C#程序运行内存中的数据库连接字符串
最新发布
weixin_28964839的博客
06-08 21
真巧,昨天刷到了大佬“一线码农”的视频,大概就是讲的有人找他破解一个混淆加密的数据库连接字符串,然后大佬也提供了方案就是用WinDebug查看内存中的数据。这其实本质上就是一个用WinDebug查看对象字符串字段具体内容的需求,为啥要取这个标题?当然是骗人点进来啦目录。
OllyDBG 杂记
jhsxy2005的博客
02-18 257
OllyDBG最强大之处在于win95也能支持,虽然不能支持全部功能,但是查看内存的话,够用 查看进程内存内容 用OD查看内存信息 加载进程 Alt+M打开内存窗口:Memory map Ctrl+B搜索字符串:可以ASCII、Unicode、HEX三种输入 之后就能搜索内存信息,但只能搜索到第一个 数据窗口ctrl+g 跳到指定位置的内存 ...
病毒分析与防护实验3—— 反汇编工具(Ollydbg)的使用
郭同学如是说
04-02 2225
实验名称:病毒分析与防护实验3—— 反汇编工具的使用 实验目的 熟悉动态分析工具OllyDBG的界面和常用模块 熟悉静态分析工具IDA的界面和常用模块 掌握使用OllyDBG和IDA分析修改可执行文件的方法 实验原理 OD界面 窗口名称 作用 反汇编窗口 显示被调试程序的反汇编代码,标题栏上的地址、机器码、反汇编代码、注释。 寄存器窗口 显示当前所选线程的 CPU 寄存器内容 信息窗口 显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等 数据窗口 显
OllyDbg快速查找指定代码四种方法
热门推荐
qq_27011361的博客
02-26 2万+
1.代码执行法:从“大本营”开始,F8执行,找到目标地点。重新调试找到目标函数。2.字符串检索法:鼠标右键-Search for-All referenced text strings,列出程序代码中引用的字符串。GOTO到目标地址即可。3.API检索法(1):鼠标右键-Search for-All intermodular calls,对应用分析推断使用函数进行查找。4.API检索法(2):对于...
56.windbg-s、#(搜索字符串、地址、汇编)
hgy413的专栏
07-16 1万+
s(Search Memory) s 命令搜索内存查找指定模板 1.  寻找内存泄露的线索。比如知道当前内存泄漏的内容是一些固定的字符串,就可以在     DLL 区域搜索这些字符串出现的地址,然后再搜索这些地址用到什么代码中,找出这些      内存是在什么地方开始分配的。  2.  寻找错误代码的根源。比如知道当前程序返回了 0x80074015  这样的一个代码,但是不 
note : OD操作整理-API断点的设置;寄存器的修改;数据的查看
谢绝(无视)留言与私信
05-04 4186
中断的设置 断点列表和代码的切换 断点的操作与切换 转到表达式, 用于在汇编窗口直接查找API 查找程序中使用的API,并对关注的API下端点. 确定在程序领空内. 需要在主程序领空查看API列表. 如果在系统DLL中, 查看的API列表就是那个DLL调用的API列表. 可以在程序入口点到主视图或主对话框出来之前, 查看主程序用到的API列表. 也
Ollydbg 中文搜索引擎插件源代码.2.15
12-17
ollydbg是一款著名的逆向工程工具,它主要用于分析和调试二进制代码,特别是那些没有源代码可用的程序。...在Ollydbg的使用中,用户可以通过单步执行、跟踪内存访问、查看寄存器状态等功能来逐步理解程序
中文搜索引擎-Ollydbg插件
02-14
通过对源代码、内存数据、日志等进行中文索引和搜索,用户可以快速定位到关键的函数、变量或者字符串,大大提升了调试效率。同时,它还可能包含了对常用调试术语的中文注解,使得非英语背景的用户也能轻松理解。 ...
Ollydbg 内存挂专用工具
09-07
内存工具通常包含一系列辅助功能,例如内存映射查看、内存搜索与替换、进程注入、API Hooking等。这些工具可以帮助用户快速定位关键数据,跟踪变量变化,甚至模拟程序执行,对于游戏外挂开发者来说,这些工具能帮助...
OllyDBG_1.10 内存修改神器
12-13
OllyDBG 1.10:内存修改神器详解》 在计算机软件逆向工程领域,OllyDBG是一款广为人知的调试工具,被誉为“内存修改神器”。它以其强大的功能和用户友好的界面,深受程序员、安全研究人员以及逆向工程师的喜爱。...
vs 查看 内存
weixin_33860553的博客
12-03 123
鼠标放上显示的是地址 记得在OD中有内存窗口, 就找了下,显然有,在调试状态下,点菜单 调试-》窗口-》内存 就可以看一块内存
Windbg调试命令详解(4)
张佩的技术库
10-12 5690
5. 内存命令 这一节里面,我们学习如何查看内存信息。内存是存储数据、代码的地方,通过内存查看命令可以分析很多问题。相关命令可以分为:内存查看命令和内存统计命令。内存统计命令用来分析内存的使用状况。 5.1 查看内存 有非常丰富的内存查看命令,它们被统一为d*格式,如下所示: d[类型] [地址范围] d代表Display,类型包括:字符、字符串、双字等。具体来说,d*命令共有这几种:d、 da、db、dc、dd、dD、df、dp、dq、du、dw、
OD+IDA动静结合反编译C++
qq_20031585的博客
04-27 9332
通过OD动态调试,内存查到定位程序代码,IDA静态反编译出来C/C++伪代码,本文完整走一遍逆向反编译的流程。
ollydbg调试总结(一)
weixin_45399376的博客
02-20 1281
ollydbg 调试中如何找到关键调用是破解成功的关键之一。 总结为如下几点: 1、关键词查找法:在“查找”-“所有参考文本字串”中/Ctrl +N快捷键中查找 2、APIs调用查找:在“查找”-“所有模块间的调用”中查找相关API函数(例如GetWindowTextA、Killtimer等) 3、句柄查找:利用Execope 找出关键窗口的句柄,在代码段查找句柄(如push 0x)从而定位关键调用,此外将断点定位在该关键函数代码段的段首,重新运行后在堆栈位置可以找到上一级调用。 4、堆栈中查找
OllyDbg的基本使用
whl0071的专栏
02-20 5927
注:内容整理自《逆向工程核心原理》,结合我的OllyDbg版本修改了一些内容 1. OllyDbg常用命令及其快捷键 指令 快捷键 含义 Restart Ctrl+F2 重新开始调试 Step Into F7 执行一句OP code,若遇到CALL,进入函数代码内部 Step Over F8 执行一句OP code,若遇到CALL,仅执行函数自身,不跟随进入 Run F9 运行(遇到断点时暂停) Execute till r
反汇编学习之路之查找参考字符串
知其所以然
04-18 2万+
ollydbg(下面简称OD)提供了这样的一个功能:可以查找程序运行中出现的字符串。 比如下面的该软件,会弹出这样的对话框: 我们可以在弹出这个对话框时,回到OD操作界面进行查找上述对话框中出现的字符串。 方法: 1,在下图所示的区域内鼠标右键,选择“查找(S)” 选项,接着选择“所有参考文本字串”选项: 2,接着在OD弹出的窗口中鼠标右键选择“查找文本”选项:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值