什么是 OllyDbg，OllyDbg 教程

OllyDbg 是一種具有可視化界面的 32 位匯編-分析調試器。它的特別之處在于可以在沒有源代碼時解決問題，并且可以處理其它編譯器無法解決的難題。

下載地址: http://www.pirinnaturalssoapandspa.com/soft/7156.html

Version 1.10 是最終的發布版本。 這個工程已經停止，我不再繼續支持這個軟件了。但不用擔心：全新打造的 OllyDbg 2.00 不久就會面世！

運行環境： OllyDbg 可以以在任何采用奔騰處理器的 Windows 95、98、ME、NT 或是 XP（未經完全測試）操作系統中工作，但我們強烈建議您采用300-MHz以上的奔騰處理器以達到最佳效果。還有，OllyDbg 是極占內存的，因此如果您需要使用諸如追蹤調試［Trace］之類的擴展功能話，建議您最好使用128MB以上的內存。

支持的處理器： OllyDbg 支持所有 80x86、奔騰、MMX、3DNOW！、Athlon 擴展指令集、SSE指令集以及相關的數據格式，但是不支持SSE2指令集。

配置： 有多達百余個（天呀?。┻x項用來設置 OllyDbg 的外觀和運行。

數據格式： OllyDbg 的數據窗口能夠顯示的所有數據格式：HEX、ASCII、UNICODE、 16/32位有/無符號/HEX整數、32/64/80位浮點數、地址、反匯編（MASM、IDEAL或是HLA）、PE文件頭或線程數據塊。

幫助： 此文件中包含了關于理解和使用 OllyDbg 的必要的信息。如果您還有 Windows API 幫助文件的話（由于版權的問題 win32.hlp 沒有包括在內），您可以將它掛在 OllyDbg 中，這樣就可以快速獲得系統函數的相關幫助。

啟動： 您可以采用命令行的形式指定可執行文件、也可以從菜單中選擇，或直接拖放到OllyDbg中，或者重新啟動上一個被調試程序，或是掛接［Attach］一個正在運行的程序。OllyDbg支持即時調試。OllyDbg根本不需要安裝，可直接在軟盤中運行！

調試DLLs： 您可以利用OllyDbg調試標準動態鏈接庫 (DLLs)。OllyDbg 會自動運行一個可執行程序。這個程序會加載鏈接庫，并允許您調用鏈接庫的輸出函數。

源碼級調試： OllyDbg 可以識別所有 Borland 和 Microsoft 格式的調試信息。這些信息包括源代碼、函數名、標簽、全局變量、靜態變量。有限度的支持動態（棧）變量和結構。

代碼高亮： OllyDbg 的反匯編器可以高亮不同類型的指令（如：跳轉、條件跳轉、入棧、出棧、調用、返回、特殊的或是無效的指令）和不同的操作數（常規［general］、
FPU/SSE、段/系統寄存器、在?；騼却嬷械牟僮鲾?，常量）。您可以定制個性化高亮方案。

線程： OllyDbg 可以調試多線程程序。因此您可以在多個線程之間轉換，掛起、恢復、終止線程或是改變線程優先級。并且線程窗口將會顯示每個線程的錯誤（就像調用 GETLASTERROR 返回一樣）。

分析：OllyDbg 的最大特點之一就是分析。它會分析函數過程、循環語句、選擇語句、表［tables］、常量、代碼中的字符串、欺騙性指令［tricky constructs］、API調用、函數中參數的數目，import表等等。. 這些分析增加了二進制代碼的可讀性，減少了出錯的可能性，使得我們的調試工作更加容易。

Object掃描。 OllyDbg 可以掃描Object文件/庫（包括 OMF 和 COFF 格式），解壓代碼段［code segments］并且對其位置進行定向。

Implib掃描。 由于一些DLL文件的輸出函數使用的索引號，對于人來說，這些索引號沒有實際含義。如果您有與DLL相應的輸入庫［import library］，OllyDbg 就可以將序號轉換成符號名稱。

完全支持Unicode： 幾乎所有支持 ASCII 的操作同時也支持 UNICODE，反之亦然。

名稱： OllyDbg 可以根據 Borland 和 Microsoft 格式的調試信息，顯示輸入/輸出符號及名稱。Object 掃描器可以識別庫函數。其中的名稱和注釋您可任意添加。如果DLL中的某些函數是通過索引號輸出的，則您可通過掛接輸入庫［import library］來恢復原來的函數名稱。不僅如此，OllyDbg還能識別大量的常量符號名（如：窗口消息、錯誤代碼、位域［bit fields］…）并能夠解碼為已知的函數調用。

已知函數：OllyDbg 可以識別 2300 多個 C 和 Windows API 中的常用函數及其使用的參數。您可以添加描述信息、預定義解碼。您還可以在已知函數設定 Log 斷點并可以對參數進行記錄。

函數調用： OllyDbg 可以在沒有調試信息或函數過程使用非標準的開始部分［prolog］和結尾部分［epilog］的情況下，對遞歸調用進行回溯。
譯者注：
004010D0 push ebp \
004010D1 mov ebp,esp |
004010D3 sub esp,10h |prolog
004010D6 push ebx |
004010D7 push esi |
004010D8 push edi /
……
004010C5 pop edi \
004010C6 pop esi |
004010C7 pop ebx |epilog
004010C8 mov esp,ebp |

004010CA pop ebp |
004010CB ret /

棧：在棧窗口中，OllyDbg 能智能識別返回地址和?？蚣埽跾tack Frames］。并會留下一些先前的調用。如果程序停在已知函數上，堆棧窗口將會對其參數進行分析解碼。

譯者注：?？蚣埽跾tack Frames］是指一個內存區域，用于存放函數參數和局部變量。

SEH 鏈： 跟蹤棧并顯示結構化異常句柄鏈。全部鏈會顯示在一個單獨的窗口中。

搜索：方法真是太多了！可精確、模糊搜索命令或命令序列，搜索常數，搜索二進制、文本字符串，搜索全部命令地址，搜索全部常量或地址域［address range］，搜索所有能跳到選定地址的跳轉，搜索所有調用和被調用的函數，搜索所有參考字符串，在不同模塊中搜索所有調用、搜索函數名稱，在全部已分配的內存中搜索二進制序列。如果搜索到多個結果，您可以對其進行快速操作。

窗口：OllyDbg 能夠列出關于調試程序中的各種窗口，并且可以在窗口、類甚至選定的消息上設置斷點。

資源：如果 Windows API 函數使用了參考資源串，OllyDbg 可以顯示它。其支持顯示的類型僅限于附帶資源［attached resources］的列表、數據顯示及二進制編輯、。

斷點： OllyDbg 支持各種斷點：一般斷點、條件斷點、記錄斷點（比如記錄函數參數到記錄窗口）、內存讀寫斷點、硬件斷點（只適用于ME/NT/2000）等。在Hit跟蹤情況下，可以在模塊的每條命令上都設置INT3斷點。在使用500-MHZ處理器的 Windows NT 中，OllyDbg 每秒可以處理高達 5000 個中斷。

監視與監察器：每個監視都是一個表達式并能實時顯示表達式的值。您可以使用寄存器、常數、地址表達式、布爾值以及任何復雜代數運算，您還可以比較ASCII和UNICODE
字符串。監察器［inspectors］是一種包含了兩個的索引序列的監視［Watches］，它以二維表的形式呈現，可以允�组和结构进行斤嶋分析�?nbsp;

Heap walk.：在基于Win95的系統中，OllyDbg 可以列出所有的已分配的堆。

句柄：在基于NT的系統中，OllyDbg 可列出被調試程序的所有系統句柄。

執行：.您可以單步執行、步入子程序或者步過子程序。您也可以執行程序直到函數返回時、執行到指定地址處，還可以自動執行。當程序運行時，您仍然可以操縱程序并能夠查看內存、設置斷點甚至修改代碼。您也可以任意的暫?；蛑貑⒈徽{試的程序。

Hit跟蹤：.Hit跟蹤可以顯示出目前已執行的指令或函數過程，幫助您檢驗代碼的各個分支。Hit跟蹤會在指定指令到達之前設置斷點，而在這個指令執行后，會把這個斷點清除掉。

譯者注：Hit在英文中是“擊中”的意思，指令如果運行了就表示這個指令被“擊中”了，沒有執行的指令就是“未擊中”，這樣我們就很容易看出被調試程序哪些部分運行了，而哪些沒有運行。

Run 跟蹤： Run跟蹤可以單步執行程序，它會在一個很大的循環緩沖區中模擬運行程序。這個模擬器包含了除了SSE指令集以外的所以寄存器、標志、線程錯誤、消息、已經函數的參數。您可以保存命令，這樣可以非常方便地調試自修改代碼（譯者注：比如加殼程序）。您可以設置條件中斷，條件包括地址范圍、表達式、命令。您可以將Run
跟蹤信息保存到一個文件中，這樣就可以對比兩次運行的差別。Run跟蹤可以回溯分析已執行過的上百萬條命令的各種細節。

統計： 統計［Profiler］可以在跟蹤時計算某些指令出現的次數。因此您就能了解代碼的哪一部分被頻繁執行。

補?。簝戎脜R編器能夠自動找到修改過的代碼段。二進制編輯器則會以ASCII、UNICODE或者十六進制的形式同步顯示修改后的數據。修改后的數據同其它數據一樣，能夠進行復制-粘貼操作。原來的數據會自動備份，以便數據恢復時使用。您可以把修改的部分直接復制到執行文件中，OllyDbg會自動修正。 OllyDbg還會記錄以前調試過程中使用的所有補丁。您可以通過空格鍵實現補丁的激活或者禁止。

自解壓文件： 當調試自解壓文件時，您往往希望跳過解壓部分，直接停在程序的原始入口點。OllyDbg的自解壓跟蹤將會使您實現這一目的。如果是加保護的自解壓段，自解壓跟蹤往往會失敗。而一旦OllyDbg找到了入口點，它將會跳過解壓部分，并準確的到達入口點。

插件：您可以把自己的插件添加到 OllyDbg 中，以增加新的功能。OllyDbg 的插件能夠訪問幾乎所有重要的數據的結構、能夠在 OllyDbg 的窗口中添加菜單和快捷鍵，能夠使用100個以上的插件API函數。插件API函數有詳細的說明文檔。默認安裝已經包含了兩個插件：命令行插件和書簽插件。

UDD：OllyDbg 把所有程序或模塊相關的信息保存至單獨的文件中，并在模塊重新加載時繼續使用。這些信息包括了標簽、注釋、斷點、監視、分析數據、條件等等。

更多：這里介紹的功能，僅僅是 OllyDbg 的部分功能。因為其具有如此豐富的功能，以至于 OllyDbg 能成為非常方便的調試器。