网络安全编程：逆向调试分析工具之OllyDbg

在逆向分析中，调试工具可以说是非常重要的。调试器能够跟踪一个进程的运行时状态，在逆向中称为动态分析工具。动态调试会用在很多方面，比如漏洞的挖掘、游戏外挂的分析、软件加密解密等方面。本文介绍应用层下最流行的调试工具OllyDbg。

OllyDbg缩写为OD，是由一款具有可视化界面的运行在应用层（或者R3）的一款32位的反汇编逆向调试分析工具。OD是所有做逆向分析者都离不开的工具。它的流行，究其原因，是操作简单、参考文档相当丰富、支持插件功能。

1. OD的版本

OD的主流版本是1.10，但是它存在很多修改版。OD虽然是动态调试工具，但是由于其强大的功能经常被很多人用在软件破解等方面，很多软件作者的心血被付诸东流。软件的作者为了防止软件被OD调试，加入了很多防止OD进行调试的反调试功能来保护自己的软件不被破解；而破解者为了能够继续使用OD来破解软件，则不得不对OD进行修改，从而达到反反调试的效果。

调试、反调试、反反调试，对于新接触调试的爱好者来说容易混淆。简单来说，反调试是阻止使用OD进行调试，而反反调试是突破反调试继续进行调试。而OD的修改版本之所以很多，就是为了能够更好地突破软件的反调试。从OD存在着众多的修改版本可以看出，软件的保护与软件的破解一直在进行着“攻”和“防”的突破当中。

因此，如果从学习的角度来讲，建议选择原版的OD进行使用。在使用的过程中，除了会掌握很多调试的技巧，也会学到很多反调试的技巧，从而掌握反反调试的技巧。而如果在实际的应用中，则可以直接使用修改版的OD，避免OD被软件反调试，从而提高逆向调试分析的速度。

2. OD主界面

OD的发行是一个压缩包，解压即可运行使用。运行OD解压目录中的ollydbg.exe程序，会出现一个分布恰当、有菜单有版面和能输入命令的一个看似强大的软件窗口，如图1所示。

图1 OD调试主界面

在图1中，工作区可以分为6部分，从左往右、从上往下，这6部分分别是反汇编窗口、信息窗口、数据窗口、寄存器窗口、栈窗口和命令窗口。下面分别介绍各个窗口的用法。

反汇编窗口：该窗口用于显示反汇编代码，调试分析程序主要就是在这个窗口中进行，这也是进行调试分析的主要工作窗口。

信息窗口：该窗口用于显示与反汇编窗口上下文相关的内存或寄存器信息。

数据窗口：该窗口用于以多种格式显示内存中的内容，可以使用的格式有Hex、文本、短型、长型、浮点和反汇编等。

寄存器窗口：该窗口用于显示各个寄存器的内容，包括前面介绍的通用寄存器、段寄存器、标志寄存器、浮点寄存器，另外，还可以在寄存器窗口中的右键菜单选择显示MMX寄存器、3DNow!寄存器和调试寄存器。

栈窗口：该窗口用于显示堆栈内容，即ESP寄存器和EBP寄存器指向的地址部分。

命令窗口：该窗口用于输入命令来简化调试分析的工作，该窗口并非基本窗口，而是由OD的插件提供的功能，几乎所有的OD使用者都会使用该控件，因此必须掌握该窗口的使用。

3. OD功能窗口

OD中的主窗口是OD众多窗口中的一个，主要是用来显示CPU相关内容的窗口，主窗口也被称为CPU窗口。除了CPU窗口外，OD还有功能非常多的其他窗口。可以通过菜单栏的“查看(V)”项目打开这些窗口进行使用，或者通过工具栏上的“窗口切换”工具来选择使用不同的功能窗口。工具栏的“窗口切换”如图2所示。

图2 “窗口切换”选项工具栏

（1）“内存”窗口

“内存”窗口显示了程序各个模块节区在内存中的地址，如图3所示。

图3 “内存”窗口

在内存窗口中，可以用鼠标选中某个模块的节区，然后按下F2键来下断点。一旦代码访问到这个段，OD就会相应断点断下。

（2）“调用堆栈”窗口

“调用堆栈”用来显示当前代码所属函数的调用关系。“调用堆栈”窗口如图4所示。

图4 “调用堆栈”窗口

从图4中第1行信息可以看出，当前代码所在的函数首地址是NOTEPAD模块中的010040BA地址处，调用该函数的位置来自于NOTEPAD.010045CA，而NOTEPAD.010045CA函数所在的函数首地址需要从第3行中查看，该函数的首地址是NOTEPAD.01004565。其调用关系模拟如下：

各个调用关系之间的Arg1、Arg2是由调用方函数传递给被调用方的函数参数。调用栈的结构类似于栈的结构，都是由高往低方向延伸。在调用栈窗口中越靠下的函数，其栈地址越高，函数之间的调用关系也是由下往上的。

（3）“断点”窗口

“断点”窗口显示了设置的所有的软断点，如图5所示。

图5 “断点”窗口

从图5中可以看出，设定了3条软断点，设置断点的地址从图5的第1列可以查看。如果在API函数的首地址上设定断点，那么在地址后会给出API函数的名称。设置好的断点如果不想使用，可以进行删除；如果暂时不想使用，则可以通过使用空格键来切换其是否激活的状态。

4. 常用断点的设置方法

在OD中，常用的设置断点的方法有命令法、菜单法和快捷键法。无论通过哪种方法设置断点，其实断点的类型不外乎有3种，分别是INT3断点、内存断点和硬件断点。

（1）通过命令设置断点

通过命令可以设置硬件断点和INT3断点。设置INT3断点的方法较为简单，直接在命令窗口输入“bp断点地址”或“bpAPI函数名称”即可。设置好以后，可以通过断点窗口查看设置好的断点。

关于硬件断点，这里介绍4条命令，具体如下。

① hr：硬件读断点，如hr 断点地址。

② hw：硬件写断点，如hw 断点地址。

③ he：硬件执行断点，如he 断点地址。

④ hd：删除硬件断点，如hd 断点地址。

硬件断点最多只能设置4个，这是跟CPU相关的。可以用于设置断点的调试寄存器只有4个，分别是DR0、DR1、DR2和DR3。通过命令设置好硬件断点后，可以在菜单的“调试(D)”项中打开“硬件断点(H)”，查看设置好的硬件断点，如图6所示。

6 硬件断点图

（2）通过快捷键设置断点

通过快捷键设置断点的方法非常简单，在需要设置断点的代码行处按下F2键即可设置一个INT3断点，在设置好的INT3断点处再次按下F2键即可取消设置好的断点。

除了可以在代码处通过F2键设置断点外，还可以在内存窗口中，在指定的节上按下F2键来设置断点。这里设置的断点是一次性断点，即断点被触发后设置的断点自动被删除。

（3）通过菜单设置断点

通过菜单设置断点的方法比较简单，如图7所示。

图7 通过菜单设置断点

在菜单中可以看到设置内存断点的选项，分别是“内存访问”和“内存写入”。内存断点通常对数据部分设置断点，如果要找到某块内存中数据是由哪块代码进行处理的，通过设置内存断点可以很容易找到。

对于动态调试分析来说，合理设置断点非常重要。在OD中，有很多设置断点的方法和技巧，请大家在使用和学习的过程中慢慢学习和摸索。

5. OD调试快捷键

① F8键：单步步过，依次执行每一条代码，遇到CALL不进入，遇到REP不重复。

② F7键：单步步入，依次执行每一条代码，遇到CALL则进入，遇到REP则重复。

③ F4 键：执行到功能的代码处（前提条件是选中的代码在程序的流程中一定会被执行到）。

④ F9键：运行程序，直到遇到断点才停止。

⑤ Ctrl+F9组合键：返回调用处（在win7及更高的版本的操作系统下，该快捷键失灵了）。

⑥ Alt+F9组合键：执行到函数的结尾处。