ollydbg调试PE文件

最新推荐文章于 2025-05-28 09:38:33 发布
转载 最新推荐文章于 2025-05-28 09:38:33 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/long123king/p/3591657.html

本文介绍了使用OllyDbg调试exe文件的方法,包括如何找到入口点地址、查看内存映射及利用CPU窗口进行指令跟踪。特别强调了CALL指令解析的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ollydbg项目地址:http://www.ollydbg.de/

将exe文件打开到ollydbg项目中,就会直接停到“入口点”地址处,通过View->Memory Map可以清楚地看到用户空间的各个内存区域的用途。

 

找到我们的目标文件映射到地址空间的区域,选择PE Header跟进去看AddressOfEntryPoint,再加上PE Header映射基地址,我们就得到了一开始的“入口点”地址。

 

在View中有好几个窗口,对于调试,最常用的就是CPU窗口。

将一个exe按F8(相当于F10),F7(相当于F11)有选择地跑下来,最直观的感觉就是,对于CALL指令的支持与解释对于分析程序有很大帮助:

image

如上图红色字体内容。

 

FS:[0]里面存放的是什么呢,FS指向与当前线程有关的数据,FS一般为0x7FFDF000。

image

转载于:https://www.cnblogs.com/long123king/p/3591657.html

win32下PE文件(可执行文件)的常用分析与调试工具
05-02
内含多种工具,可对win32平台下的PE文件进行调试和分析,有利于进行PE文件的学习与深入研究
windows调试工具X86系统dbg_x86_6.11.1.404
11-04
Windows 调试工具 老版本了,dbg_x86_6.11.1.404,需要的可以下载看看
OllyDbg笔记-初识PE文件(nag窗口破解)
IT1995的博客
12-09 5569
目录 基本概念 代码与实例 基本概念 这里主要是记录下PE文件结构: PE文件结构,它在硬盘上的存储结构跟载入内存时候的存储结构是一样的。 在PE文件结构里边找出想要的东西,当这个文件映射到内存后,也可以很容易的找到它(因为OD是动态调试,程序需要先载入内存)。 内存中的一个模块代表一个可执行文件进程所需要的所有代码、数据、资源的集合。 PE文件结构: DOS head...
深入理解PE调试器的C语言实现
最新发布
weixin_42583683的博客
05-28 847
在复杂程序的调试过程中,常常需要在满足特定条件时才触发断,这时条件断就显得尤为重要。条件断允许开发者设定一个表达式,当表达式的结果为真时,程序会在断处暂停执行。这可以极大地减少调试所需的时间,并帮助开发者快速定位到问题所在。
Ollydbg学习
kendyhj9999的专栏
01-01 1945
from:http://blog.sina.com.cn/s/blog_61d65e360100le2a.html OD学习---详细分析(1) 在此感谢我的搭档刘飞!OD学习之路有他的陪伴,我不再孤独! Ollydbg简称OD,与WinDbg和SoftICE不同的是,他只能调试应用程序。而后两者则既可以调试应用程序也可以调试内核。 就现在而言,我们只研究OD。SoftICE笔
DBG x86 windows程序调试工具
09-26
WinDbg是一个功能非常强大的调试器。它支持多种调试任务,如用户态调试、内核态调试、转储文件调试和远程调试。与此同时WinDbg还具有很好的灵活性和可扩展性。虽然是一个典型的GUI应用程序,但是它的大多数调试功能还是以手工输入命令的方式来工作的。目前版本的WinDbg提供了130多条标准命令,140多条元命令和难以计数的扩展命令。 WinDbg使用工作空间来描述和存储调试项目的属性、参数及调试器设置等信息。工作空间与vc中的项目文件很相似。WinDbg定义了两种工作空间,一种为默认工作空间,另一种为命名的工作空间。当没有明确使用某个命名空间时,WinDbg总是使用默认工作空间。 WinDbg在安装后就有预先创建了一些列默认空间。分别为基础工作空间、默认内核工作空间、默认远程调试工作空间、特定处理器工作空间、默认用户态工作空间。它们分别定义了在WinDbg在各种条件下的一些配置、参数设置等。
新手必备:OllyDBG使用与PE文件格式教程
1. **加载程序**:在OllyDBG中打开要调试PE文件。 2. **断设置**:通过F2快捷键设置断程序执行到此处会暂停。 3. **单步执行**:使用F7和F8键可以单步执行程序中的指令,F7用于跟踪进函数内部,F8则是跨过...
关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
在实际操作中,我们需要使用专用工具,如OllyDbgPE Explorer、CFF Explorer等,它们提供了可视化界面和API接口来方便地查看和修改PE文件。同时,学习汇编语言和逆向工程知识对于深入理解PE修改至关重要。 总结...
PE文件节区添加并弹出简单的对话框
12-03
这个过程中,你可能需要使用如OllyDbg、IDA Pro这样的调试和逆向工程工具。 在提供的压缩包文件中,可能包含了一些示例代码、教程文档或工具,帮助你实现上述操作。通过学习这些内容,你可以深入理解PE文件的操作,...
OllyDBG调试器完全指南
6. **数据格式显示**:数据窗口能展示多种格式的数据,包括HEX、ASCII、UNICODE、整数、浮数、地址、反汇编代码以及PE文件头等。 7. **帮助文档**:教程附带的帮助文件包含使用OLLYDBG所需的基本知识,如果用户...
如何结合PE文件结构使用OllyDbg进行动态调试,并在调试过程中设置断来分析程序运行状态?
11-06
在学习如何使用OllyDbg进行动态调试的过程中,掌握PE文件结构对于理解程序如何在内存中加载和执行至关重要。OllyDbg是一款功能强大的动态调试器,能够帮助你在程序运行时检查、修改和分析内存内容。 参考资源链接:...
RegisterMe.exe供OD(Ollydbg)学习用
08-11
供OD(Ollydbg)学习用的RegisterMe原版exe和Oops版exe
RegisterMe.exe供OD(Ollydbg)学习用-小甲鱼教程
09-11
供OD(Ollydbg)学习用-小甲鱼教程 .供OD(Ollydbg)学习用-小甲鱼教程..供OD(Ollydbg)学习用-小甲鱼教程
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
OllyDbg提示Not a valid PE file,****.exe‘ is probably not a 32-bit Portable Executable.
梦秋音
11-22 4219
Not a valid PE file File 'c:\******\Hello.exe' is probably not a 32-bit Portable Executable.Try to load it anyway? 第一次接触OllyDbg,用Code Block 写了一个控制台程序,编译后得到Hello.exe,用官网下载的OllyDbg打开该文件显示上面图片里的内容。 后来发现原来Hello.exe是64位文件????,而OllyDbg只能打开32位的文件。 想过下载64位
Ollydbg提示:xxxxxx可能不是一个 32 位 PE 文件,无论如何都尝试载入吗?
XuanRan的博客
09-02 4442
原标题:OD提示C:\Users\XuanRan\Desktop\xxxx.exe’可能不是一个个 32 位 PE 文件,无论如何都尝试载入吗?它的意思就是告诉你,OD现在只能用于32位软件。如果要调试64位程序,去使用x64dbg。
小甲鱼 OllyDbg 教程系列 (二) :从一个简单的实例来了解PE文件
墨鱼菜鸡
07-11 1865
小甲鱼视频讲解:https://www.bilibili.com/video/av6889190?p=6https://www.bilibili.com/video/av6889190?p=7 从一个简单的实例来了解PE文件:https://www.freebuf.com/articles/system/86596.htmlhttps://blog.c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值