whl0071的专栏

注：内容整理自《逆向工程核心原理》，结合我的OllyDbg版本修改了一些内容1. OllyDbg常用命令及其快捷键指令 快捷键 含义 Restart Ctrl+F2 重新开始调试 Step Into F7 执行一句OP code，若遇到CALL，进入函数代码内部 Step Over F8 执行一句OP code，若遇到CALL，仅执行函数自身，不跟随进入 Run F9 运行（遇到断点时暂停） Execute till r

工具栏各种窗口切换1.日志窗口(L):2.模块窗口(E):查看每个模块的内存基址3.内存窗口(M):查看每一个模块的段,所占用的内存区域4.线程窗口(T):线程信息5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息6.句柄(H):7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要8.补丁窗口(/):9:堆栈窗口(K):可以查看调用堆栈,调试时堆栈回溯—很重要10.断点窗口(B):所有的F2断点都显示在这里11.参考( R):比如如

文章目录转载自[PE结构详解(64位和32位)](https://blog.youkuaiyun.com/cs2626242/article/details/79391599) 1 基本概念 2 概览 3 文件头 3.1 DOS头（PE文件签名的偏移地址就是大小） 3.2 NT头（244或260个字节） 3.2.1 机器类型 3.2.2 特征 3.3 节头 3.3.1 节标志 4 一些注意信息 5 特殊的节 5.1 .edata节 5.1.1 导

在ollydbg调试的时候，会看到大量的汇编代码（远多于源代码），代码中有大量的函数嵌套调用，调试起来周期很长，难度比较大。所以我们希望能快速定位到代码，以下是快速定位的四种方法：1、Goto命令　　执行Goto命令（Ctrl+G），输入跟踪表达式确定后，执行Excute Still Cursor（F4）命令。2、设置断点　　快捷键F2设置断点。3、注释　　键盘按下";"键，输入注释，便于查找。4、标签　　键盘按下":"键，输入标签，便于查找。...

如你要跟ebx，跟到某层遇到mov ebx, [ebp-430]之类的，不用讲，局部变量，此时在ebx下断，看ebx的值，再ctrl+f9, f8,到上一层看是怎么传进来这个参数的。比如是最后一次push传进来的，就向上一直跟最后一次push的寄存器。 向上跟数值时，遇到ebp，esp之类的，一定要仔细看。仔细分析堆栈。并不要认为上一个函数一定是堆栈平衡。 遇到跟数据是跟ecx的，一般情况，都很向上跟很多层，因为在面向对象语言中，对象指针都用ecx寄存器存放，而对象指针在函数中很重要...