破解工具ollydbg的使用经验

命令行插件的快捷组合键：Alt+F1。目前，它支持如下的命令：

表达式
CALC 表达式 计算表达式的值
? 表达式 同上
表达式 (第一个字符不能是字母) 同上
WATCH 表达式 添加监视
W 表达式 同上

反汇编器
AT 表达式 在反汇编中跟随
FOLLOW 表达式 同上
orIG 前往实际的 EIP
* 同上

转存和堆栈
D 表达式 在转存中跟随
DUMP 表达式 同上
DA [表达式] 转存为汇编格式
DB [表达式] 转存为十六进制(hex)字节格式
DC [表达式] 作为ASCII 文本转存
DD [表达式] 作为地址(堆栈格式)转存
DU [表达式] 作为 UNICODE 文本转存
DW [表达式] 转存为十六进制(hex)字格式
STK 表达式 在堆栈中跟随

汇编
A 表达式 [,命令] 在地址处汇编

标号和注释
L 表达式, 标号 为地址指派符号标号
C 表达式, 注释 在地址处作注释

断点命令
BP 表达式 [,条件] 在地址处设置 INT3 断点
BPX 标号 在当前模块内部的每个调用外部'标号'处设置断点
BC 表达式 删除地址处的断点
MR 表达式1 [,表达式2] 设置访问范围的内存断点
MW 表达式1 [,表达式2] 设置写入范围的内存断点
MD 移除内存断点
HR 表达式 在访问地址处设置一个字节的硬件断点
HW 表达式 在写入地址处设置一个字节的的硬件断点
HE 表达式 在执行地址处设置硬件断点
HD [表达式] 移除地址处的硬件断点

跟踪命令
STOP 暂停执行
PAUSE 同上
RUN 运行程序
G [表达式] 运行到地址处
GE [表达式] 跳过意外的句柄并运行到地址处
S 单步进入
SI 同上
SO 单步跳过
T [表达式] 跟踪进入到地址处
TI [表达式] 同上
TO [表达式] 跟踪跳过到地址处
TC 条件 跟踪进入到条件处
TOC 条件 跟踪跳过到条件处
TR 执行到返回
TU 执行到用户代码
OllyDbg 窗口
LOG 查看日志窗口
MOD 查看可执行模块
MEM 查看内存窗口
CPU 查看 CPU 窗口
CS 查看调用堆栈
BRK 查看断点窗口
OPT 编辑选项

杂项命令
EXIT 关闭 OllyDbg
QUIT 同上
OPEN [文件名] 打开待调试的可执行文件
CLOSE 关闭调试的程序
RST 重新载入当前程序
HELP 显示本帮助
HELP OllyDbg 显示 OllyDbg 帮助
HELP API函数帮助完整文件名 显示 API 函数帮助

命令不区分大小写， 中括号中的参数是可选的。表达式可以包含常量， 寄存器和内存参考并支持所有标准的算术和逻辑操作符。默认情况下，所有常量都是十六进制的数。要标记为十进制的常量，紧接着使用十进制标明。例如：
?2+2 ?计算该表达式的值；
?AT [EAX+10] ?在地址EAX+0x10处开始的双字长度内存的内容反汇编；
?BP KERNEL32.GetProcAddress ?设置 API 函数断点。注意：你仅可以在基于NT 系统的系统 DLL 上设置断点；
?BPX GetProcAddress ?在当前所选模块中的每个调用外部函数 GetProcAddress 处设置断点；
?BP 412010,EAX==WM_CLOSE - 在 0x412010 处设置条件断点。当 EAX 的值等于WM_CLOSE 时程序暂停。
你可以在 OllyDbg 帮助中找到 OllyDbg 支持的完整的表达式描述。

上一页  [1] [2] [3] [4] [5] [6] 下一页