Ollydbg

ollydbg

官网：http://www.ollydbg.de/
跟踪寄存器，识别进程，API调用，表，常量和字符串，以及从目标文件和库中查找例程.

界面布局

汇编窗口

注释信息

Options -> Automatical module analysis -> Main module.选中后会自动分析,然后限制在注释信息窗口中.

OllyDbg有时会错误的将可执行代码解释为数据，可以在反汇编窗口中右击选择Analysis -> Remove analysis from module 手动删除分析结果

高亮指令

右键汇编窗口，选择Appearance -> Highlighting --> Jumps and Calls。这是汇编窗口的指令会高亮显示jmp和call指令。

寄存器

查看寄存器和标志寄存器。

堆栈窗⼝

涉及到ESP和EBP寄存器指向地址的信息显示。
右键堆栈窗口 -> Go to -> ESP/EBP。

数据窗口（dump）

默认模式为Hex/ASCII（8-byte），还可以改变它以显示反汇编代码(Disassemble)，文本（Text）和其它格式（Short，Long，Float）。

控制面板图标按钮

L图标View -> Log，显示日志窗口。
E按钮View -> Executables，显示程序运行使用的模块：exe,dll,ocx和其它。
M按钮View->Memory，显示程序映射到内存的信息。
T按钮View->Threads，显示程序的线程窗口。
W按钮View-> Windows，显示程序窗口
H按钮View-> Handles，句柄窗口
C按钮View->CPU，返回到OllyDbg的主窗口，CPU窗口。
/按钮View->Patches，如果程序经过了修改，显示修改的信息
K按钮View->Call stack，显示调用堆栈的窗口信息
B按钮View->Breakpoints，显示程序普通断点的列表窗口
R按钮View->Reference，参考窗口，显示OllyDbg中搜索的结果
... 按钮View->Run trace，显示RUN TRACE（RUN跟踪）命令的结果。可以通过Log to file保存输出结果到文件。

安装插件

为插件建立文件夹PLUGINS，将插件复制到其中，设置Options->Appearance，选中刚才新建的文件夹，重启OD。

快捷键

F7 CALL时Step Into
F8 CALL时Step Over
F2 添加/删除断点
F9 Debug-> Run，调试程序，直到遇到断点停止
F12 Debug-> Pause，临时暂停程序
Alt+F2 DEBUG-> CLOSE，关闭调试程序

其他辅助工具

PEID 查看exe文件由什么语言编写
dnSpy 破解.net用
de4dot .net脱壳

查找注释

进入CPU窗口

右击 -> 中文搜索引擎 -> 智能搜索

点击只能搜索后自动跳转到注释列表界面，Ctrl + F搜索