yingfeng加入PYG54小组学习

yingfeng

问:为什么要加入PYG54小组学习？
答:对破解很感兴趣,想一直坚持下去.
附:虽然我没有什么基础,也不是什么计算机专业的人,但我相信通过我的自学,也能成为一个高手.
目前我只会一些OD调试,简单的爆破,会脱一些简单的压缩壳.汇编还刚起步,买了一本WINDOWS环境下的32位汇编语言程序设计,本认为直接看就得了,没想到,尽是不解,现在只有从头开始,看中山大学的16们汇编视频,能感谢PYG很够提供一个这么个机会给我,我也会一直支持PYG.
谢谢!

tianxj

OD调试经常用到哪些命令或快捷键？？

yingfeng

想不到这么快这给我出题了

Ctrl+F2 - 重启程序，即重新启动被调试程序。如果当前没有调试的程序，OllyDbg会运行历史列表［history list］中的第一个程序。程序重启后，将会删除所有内存断点和硬件断点。
译者注：从实际使用效果看，硬件断点在程序重启后并没有移除。

Alt+F2 - 关闭，即关闭被调试程序。如果程序仍在运行，会弹出一个提示信息，询问您是否要关闭程序。

F3 - 弹出“打开32位.EXE文件”对话框［Open 32-bit .EXE file］，您可以选择可执行文件，并可以输入运行参数。

Alt+F5 - 让OllyDbg总在最前面。如果被调试程序在某个断点处发生中断，而这时调试程序弹出一个总在最前面的窗口（一般为模式消息或模式对话框［modal message or dialog］），它可能会遮住OllyDbg的一部分，但是我们又不能移动最小化这个窗口。激活OllyDbg（比如按任务栏上的标签）并按Alt+F5，OllyDbg将设置成总在最前面，会反过来遮住刚才那个窗口。如果您再按一下Alt+F5，OllyDbg会恢复到正常状态。OllyDbg是否处于总在最前面状态，将会保存，在下一次调试时依然有效。当前是否处于总在最前面状态，会显示在状态栏中。

F7 - 单步步入到下一条命令，如果当前命令是一个函数［Call］，则会停在这个函数体的第一条命令上。如果当前命令是是含有REP前缀，则只执行一次重复操作。

Shift+F7 - 与F7相同，但是如果被调试程序发生异常而中止，调试器会首先尝试步入被调试程序指定的异常处理（请参考
忽略Kernel32中的内存非法访问）。

Ctrl+F7 - 自动步入，在所有的函数调用中一条一条地执行命令（就像您按住F7键不放一样，只是更快一些）。当您执行其他一些单步命令，或者程序到达断点，或者发生异常时，自动步入过程都会停止。每次单步步入，OllyDbg都会更新所有的窗口。所以为了提高自动步入的速度，请您关闭不必要成窗口，对于保留的窗口最好尽量的小。按Esc键，可以停止自动步入。

F8 - 单步步过到下一条命令。如果当前命令是一个函数，则一次执行完这个函数（除非这个函数内部包含断点，或发生了异常）。如果当前命令是含有REP前缀，则会执行完重复操作，并停在下一条命令上。

Shift+F8 - 与F8相同，但是如果被调试程序发生异常而中止，调试器会首先尝试步过被调试程序指定的异常处理

Ctrl+F8 - 自动步过，一条一条的执行命令，但并不进入函数调用内部（就像您按住F8键不放一样，只是更快一些）。当您执行其他一些单步命令，或者程序到达断点，或者发生异常时，自动步过过程都会停止。每次单步步过，OllyDbg都会更新所有的窗口。所以为了提高自动步过的速度，请您关闭不必要成窗口，对于保留的窗口最好尽量的小。按Esc键，可以停止自动步过。

F9 - 让程序继续执行。

Shift+F9 - 与F9相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理

Ctrl+F9 - 执行直到返回，跟踪程序直到遇到返回，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。

Alt+F9 - 执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新
CPU数据。因为程序是一条一条执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。

Ctrl+F11 -Run跟踪步入，一条一条执行命令，进入每个子函数调用，并把寄存器的信息加入到Run跟踪的存储数据中。Run
跟踪不会同步更新CPU窗口。

F12 - 停止程序执行，同时暂停被调试程序的所有线程。请不要手动恢复线程运行，最好使用继续执行快捷键或菜单选项（像 F9）。

Ctrl+F12 - Run跟踪 步过，一条一条执行命令，但是不进入子函数调用，，并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。

Esc - 如果当前处于自动运行或跟踪状态，则停止自动运行或跟踪；如果CPU显示的是跟踪数据，则显示真实数据。

Alt+B - 显示断点窗口。在这个窗口中，您可以编辑、删除、或跟进到断点处。

Alt+C - 显示CPU窗口。

Alt+E - 显示模块列表［list of modules］。

Alt+K - 显示调用栈［Call stack］窗口。

Alt+L - 显示日志窗口。

Alt+M - 显示内存窗口。

Alt+O - 显示选项对话框［Options dialog］

Ctrl+P - 显示补丁窗口。

Ctrl+T - 打开 暂停 Run跟踪 对话框

Alt+X - 关闭 OllyDbg。




不常用:
Alt+F3 - 关闭当前窗口。

Ctrl+F4 - 关闭当前窗口。

F5 - 最大化当前窗口或将当前窗口大小改为正常化。

F6 - 切换到下一个窗口。

Shift+F6 - 切换到前一个窗口。

F10 - 打开与当前窗口或面板相关的快捷菜单。

左方向键 - 显示窗口左方一个字节宽度的内容。

Ctrl+左方向键 - 显示窗口左方一栏的内容。

右方向键 - 显示窗口右方一个字节宽度的内容

Ctrl+右方向键 - 显示窗口右方一栏的内容

[ 本帖最后由 yingfeng 于 2007-5-21 22:24 编辑 ]

tianxj

你最常用哪几个啊

tianxj

1简单的爆破是OD做吗，还用其他的工具吗
2简单的压缩壳是使用OD脱，还是用其他的工具?

yingfeng

不好意思,一般我只有晚上才有空!

我一般都是用OD,包括调试,脱壳.当然会用一些其它工具,比如常用的资源编辑工具:ResHacker,ResScope,VB的VBExplorer等,16进制:HIEW,WINHEX.静态分析的W32DASM,动态的SMARTCHECK(FOR VB ),当然脱壳的话LOADPE,IMPORTREC也要会一点点咯!
注册机方面只用过刘键英的KeyMake内存注册机.
我只有尽量说得详细点,要楼上多了解我一些.
至于OD,我常用的是F8.F7,(脱壳,及程序关键部分)F9,CTRL+F2.F3,CTRN+N,(搜索字符)SHIFT+F9(常用于脱壳,关于异常),ALT+M(明码比较,内存段点),F12跟CTRL+F9(断消息函数,返回),ALT+C返回到CPU窗口,其它的我都很少用,都有用菜单或工具栏.

[ 本帖最后由 yingfeng 于 2007-5-22 19:16 编辑 ]

tianxj

用OD都会脱哪些壳？？

yingfeng

一般的压缩壳啦,也就是说还不会补码(加密壳),

UPX.ASPACK,北斗等,当然也是看前辈的单步法\ESP定律\二次内存法\最后一次异常法.


单步法:也就是说让程序一直往下跳,不能往上跳,如有循环跳出,一直到OEP

当然要对各种语言的入口特征有些了解,(VB我就记得,E语言也能看出,其它的我都是记在记事本上,)


ESP:当然是根据堆栈平等的原则,有进就有出,前进后出的原则.


二次内存法:第一次需要断在代码段的下面,CODE,如RSRC(目的是让程序把代码段全部解压,)当然第二次为什么要断在
CODE段,是让程序停在真正的入口处(不能让CODE反全解压,一般程序的入口都是CODE段)只讲一般,


最后一次异常法:主要是看程序在最后一次异常时返回的SE.程序经过这一次的异常程序就运行了,所以断在其最后一次异常上,

就离OEP不远了.

以上只有我个人看法,请指点!

[ 本帖最后由 yingfeng 于 2007-5-22 19:37 编辑 ]

tianxj

文件补丁、内存补丁、内存注册机都会做吗？？都用哪些工具？？

yingfeng

内存注册机主要是看寄存器的内容或跟偏移地址.(此必须把内存注册机跟原程序放在同一文件夹)
文件补丁:主要把破解的文件跟没有破解的软件进行替换而已!

不知道我说的对不?我用KEYMAKE1.7/2.0的

[ 本帖最后由 yingfeng 于 2007-5-22 19:44 编辑 ]