网络安全编程:逆向调试分析工具之OllyDbg

安全
在逆向分析中,调试工具可以说是非常重要的。调试器能够跟踪一个进程的运行时状态,在逆向中称为动态分析工具。本文介绍应用层下最流行的调试工具OllyDbg。

[[390675]]

 在逆向分析中,调试工具可以说是非常重要的。调试器能够跟踪一个进程的运行时状态,在逆向中称为动态分析工具。动态调试会用在很多方面,比如漏洞的挖掘、游戏外挂的分析、软件加密解密等方面。本文介绍应用层下最流行的调试工具OllyDbg。

OllyDbg缩写为OD,是由一款具有可视化界面的运行在应用层(或者R3)的一款32位的反汇编逆向调试分析工具。OD是所有做逆向分析者都离不开的工具。它的流行,究其原因,是操作简单、参考文档相当丰富、支持插件功能。

1. OD的版本

OD的主流版本是1.10,但是它存在很多修改版。OD 虽然是动态调试工具,但是由于其强大的功能经常被很多人用在软件破解等方面,很多软件作者的心血被付诸东流。软件的作者为了防止软件被OD调试,加入了很多防止OD进行调试的反调试功能来保护自己的软件不被破解;而破解者为了能够继续使用OD来破解软件,则不得不对OD进行修改,从而达到反反调试的效果。

调试、反调试、反反调试,对于新接触调试的爱好者来说容易混淆。简单来说,反调试是阻止使用OD进行调试,而反反调试是突破反调试继续进行调试。而OD的修改版本之所以很多,就是为了能够更好地突破软件的反调试。从OD存在着众多的修改版本可以看出,软件的保护与软件的破解一直在进行着“攻”和“防”的突破当中。

因此,如果从学习的角度来讲,建议选择原版的OD进行使用。在使用的过程中,除了会掌握很多调试的技巧,也会学到很多反调试的技巧,从而掌握反反调试的技巧。而如果在实际的应用中,则可以直接使用修改版的OD,避免OD被软件反调试,从而提高逆向调试分析的速度。

2. OD主界面

OD的发行是一个压缩包,解压即可运行使用。运行OD解压目录中的ollydbg.exe程序,会出现一个分布恰当、有菜单有版面和能输入命令的一个看似强大的软件窗口,如图1所示。

图1  OD调试主界面

在图1中,工作区可以分为6部分,从左往右、从上往下,这6部分分别是反汇编窗口、信息窗口、数据窗口、寄存器窗口、栈窗口和命令窗口。下面分别介绍各个窗口的用法。

反汇编窗口:该窗口用于显示反汇编代码,调试分析程序主要就是在这个窗口中进行,这也是进行调试分析的主要工作窗口。

信息窗口:该窗口用于显示与反汇编窗口上下文相关的内存或寄存器信息。

数据窗口:该窗口用于以多种格式显示内存中的内容,可以使用的格式有Hex、文本、短型、长型、浮点和反汇编等。

寄存器窗口:该窗口用于显示各个寄存器的内容,包括前面介绍的通用寄存器、段寄存器、标志寄存器、浮点寄存器,另外,还可以在寄存器窗口中的右键菜单选择显示MMX寄存器、3DNow!寄存器和调试寄存器。

栈窗口:该窗口用于显示堆栈内容,即ESP寄存器和EBP寄存器指向的地址部分。

命令窗口:该窗口用于输入命令来简化调试分析的工作,该窗口并非基本窗口,而是由OD的插件提供的功能,几乎所有的OD使用者都会使用该控件,因此必须掌握该窗口的使用。

3. OD功能窗口

OD中的主窗口是OD众多窗口中的一个,主要是用来显示CPU相关内容的窗口,主窗口也被称为CPU窗口。除了CPU窗口外,OD还有功能非常多的其他窗口。可以通过菜单栏的“查看(V)”项目打开这些窗口进行使用,或者通过工具栏上的“窗口切换”工具来选择使用不同的功能窗口。工具栏的“窗口切换”如图2所示。

[[390676]]

图2  “窗口切换”选项工具栏

(1)“内存”窗口

“内存”窗口显示了程序各个模块节区在内存中的地址,如图3所示。

图3  “内存”窗口

在内存窗口中,可以用鼠标选中某个模块的节区,然后按下F2键来下断点。一旦代码访问到这个段,OD就会相应断点断下。

(2)“调用堆栈”窗口

“调用堆栈”用来显示当前代码所属函数的调用关系。“调用堆栈”窗口如图4所示。

图4  “调用堆栈”窗口

从图4中第1行信息可以看出,当前代码所在的函数首地址是NOTEPAD模块中的010040BA地址处,调用该函数的位置来自于NOTEPAD.010045CA,而NOTEPAD.010045CA函数所在的函数首地址需要从第3行中查看,该函数的首地址是NOTEPAD.01004565。其调用关系模拟如下: 

  1. Func 01004565()  
  2.  
  3. ……  
  4. 010045CA: call 010040BA  
  5.  
  6. Func 010040BA()  
  7.  

各个调用关系之间的Arg1、Arg2是由调用方函数传递给被调用方的函数参数。调用栈的结构类似于栈的结构,都是由高往低方向延伸。在调用栈窗口中越靠下的函数,其栈地址越高,函数之间的调用关系也是由下往上的。

(3)“断点”窗口

“断点”窗口显示了设置的所有的软断点,如图5所示。

图5  “断点”窗口

从图5中可以看出,设定了3条软断点,设置断点的地址从图5的第1列可以查看。如果在API函数的首地址上设定断点,那么在地址后会给出API函数的名称。设置好的断点如果不想使用,可以进行删除;如果暂时不想使用,则可以通过使用空格键来切换其是否激活的状态。

4. 常用断点的设置方法

在OD中,常用的设置断点的方法有命令法、菜单法和快捷键法。无论通过哪种方法设置断点,其实断点的类型不外乎有3种,分别是INT3断点、内存断点和硬件断点。

(1)通过命令设置断点

通过命令可以设置硬件断点和INT3断点。设置INT3断点的方法较为简单,直接在命令窗口输入“bp断点地址”或“bp API函数名称”即可。设置好以后,可以通过断点窗口查看设置好的断点。

关于硬件断点,这里介绍4条命令,具体如下。

① hr:硬件读断点,如hr 断点地址。

② hw:硬件写断点,如hw 断点地址。

③ he:硬件执行断点,如he 断点地址。

④ hd:删除硬件断点,如hd 断点地址。

硬件断点最多只能设置4个,这是跟CPU相关的。可以用于设置断点的调试寄存器只有4个,分别是DR0、DR1、DR2和DR3。通过命令设置好硬件断点后,可以在菜单的“调试(D)”项中打开“硬件断点(H)”,查看设置好的硬件断点,如图6所示。

6  硬件断点图

(2)通过快捷键设置断点

通过快捷键设置断点的方法非常简单,在需要设置断点的代码行处按下F2键即可设置一个INT3断点,在设置好的INT3断点处再次按下F2键即可取消设置好的断点。

除了可以在代码处通过F2键设置断点外,还可以在内存窗口中,在指定的节上按下F2键来设置断点。这里设置的断点是一次性断点,即断点被触发后设置的断点自动被删除。

(3)通过菜单设置断点

通过菜单设置断点的方法比较简单,如图7所示。

图7  通过菜单设置断点

在菜单中可以看到设置内存断点的选项,分别是“内存访问”和“内存写入”。内存断点通常对数据部分设置断点,如果要找到某块内存中数据是由哪块代码进行处理的,通过设置内存断点可以很容易找到。

对于动态调试分析来说,合理设置断点非常重要。在OD中,有很多设置断点的方法和技巧,请大家在使用和学习的过程中慢慢学习和摸索。

5. OD调试快捷键

① F8键:单步步过,依次执行每一条代码,遇到CALL不进入,遇到REP不重复。

② F7键:单步步入,依次执行每一条代码,遇到CALL则进入,遇到REP则重复。

③ F4 键:执行到功能的代码处(前提条件是选中的代码在程序的流程中一定会被执行到)。

④ F9键:运行程序,直到遇到断点才停止。

⑤ Ctrl+F9组合键:返回调用处(在Win7及更高的版本的操作系统下,该快捷键失灵了)。

⑥ Alt+F9组合键:执行到函数的结尾处。 

 

责任编辑:庞桂玉 来源: 计算机与网络安全
相关推荐

2021-04-13 11:15:54

网络安全C语言循环结构

2021-04-08 11:10:22

网络安全C语言if…else…

2021-04-14 15:53:58

网络安全C语言wcslen

2021-04-06 11:04:54

网络安全C语言代码

2021-05-08 11:50:59

网络安全API函数代码

2021-04-26 10:32:38

网络安全PE编程工具

2021-04-01 10:40:22

网络安全软件

2016-10-10 00:18:27

2021-06-18 09:55:09

网络安全目录监控

2021-03-24 09:46:46

网络安全软件反汇编

2011-03-17 11:24:18

2011-03-17 13:32:45

2011-03-17 12:49:32

2021-05-21 12:52:47

网络安全Android App虚拟机

2021-03-03 12:20:42

网络安全DLL编程

2021-06-11 13:40:17

网络安全专杀工具病毒

2016-01-14 14:17:51

密码管理密码分析安全工具

2021-04-30 18:50:44

网络安全PE编程添加节区

2021-03-05 13:46:56

网络安全远程线程

2021-01-26 13:45:03

网络安全Winsock编程
点赞
收藏

51CTO技术栈公众号