这篇文章可用于参考OD的使用。是未完成版,详细内容会渐渐补充。

0x00 基本操作

  • F2下断点。 F2下的断点是int3断点,原理是在把下断处的代码换成CC(即int3的机器码),引发int3中断,引起程序异常,断在此处。此外还有硬件断点,内存断点等,另外介绍。
  • F8单步步过。不进入call的函数内。
  • F7单步步入。进入call的函数内。
  • F9运行。
  • shift+F9忽略异常运行。
  • ctrl+F12跟踪运行。这种运行模式下,走过的代码会被run trace记录,可在...内看到。
  • ctrl+G转到表达式。除了跳转到目标地址下,还有跳转到系统API的功能,非常便利。

0x01 窗口说明

窗口

  • l log data 记录Log信息
  • e Executable modules 记录导入的模块,如动态链接库
  • m Memory map 记录内存中文件信息
  • t Threads 记录线程
  • w windows 记录窗口信息
  • h handle 记录句柄
  • c 主窗口
  • p Pathces 记录补丁信息
  • k 记录调用堆栈
  • b Breakpoints 记录断点信息
  • r References 记录参考信息
  • … Run trace 记录跟踪信息
  • s Source 记录资源信息

0x02 主窗口介绍

主窗口

0x03 常用操作

更改跳转条件

在寄存器窗口区双击标识寄存器内容可以改变其内容,请根据具体的跳转判断条件使用。

更改代码

选中想要更改的代码行,按空格键;或者是右键单击,选择汇编。在弹出的窗口中输入更改后的代码。

跳转到指定地址

先选中想要跳转的窗口,然后按Ctrl+G,在弹出的窗口中输入目标地址或是API函数名称,回车。

0x04 寻找关键函数

方法一:查找字符串

插件->中文搜索引擎->搜索ASCII(UNICODE)

方法二:对API下断

对对应的API下断点。如DialogboxA/W等。

方法三:下消息断点

暂停后,点击w,右键单击主窗口句柄,下消息断点。