重要的 一般用得到的:$RESULT //返回值cmp $VERSION, "1.47"ja ``````#INC "脚本名"#LOG //开始记录运行指令ADD 目的,源add [401000],5 //[4010000]+5add x,16.50add y,"times"alloc //申请内存 RWEalloc 1000 1000字节 保存到$RESULT放着申请内存的开始地址Free $RESULT, 1000AND 目的,源and x,0FAO 自动步过 ctrl+F8ask 显示一个提示输入框,让用户输入 结果放在$RESULT(如果取消了则$RESULT=0)$RESULT_1放着长度ask "enter new EIP"cmp $RESULT,0je cancel_pressedmov eip, $RESULTcancel_pressed:asm 地址(支持变量),指令asm eip,"mov eax,ecx"//将EIP指定的地方进行汇编bc 指定地址 breakPoint Clearbc 无后缀 删除所有断点bp 401000 设置断点BPCND 地址,条件 条件断点BPHWC 401000 BreakPoint HardWare ClearBPHWCALL 删除所有的硬件断点BPHWS 地址,模式 "r" 读取 "w" 吸入 "x"执行bpmc memory clearbprm 地址 , 大小 读取内存断点bpwm 写入内存断点cmp 跟OD一样CMT EIP,"这是OEP" //注释DEC 变量 减一操作DIV 目的,源 除法DM 地址,大小,文件名 DUMP MemoryDM 401000,1f,"dump.bin" //当前目录下生成 有则覆盖DMA 401000,1F,"1.txt" 可追加EOB 在下次中断发生时 跳EOE 在下次异常发生时 跳ESTI Exception Step Into//shift+f7estiESTO Exception Step Continue //shift+f9estoEVAL 计算含义变量的表达式(用var定义)var xmov x,1000eval "x的值是{ x }" // x的值是00001000execpushadpushfdende //保存了环境FILL addr,len,valuefill 401000,10,90 //NOP 10h个字节fill 401000,ff,[eax] find 地址,查找内容,【最大大小】//支持?? ##是HEX “”为字符串,什么都不带是内存数据 输入的16进制必须是偶数find EIP, #6A00E8#//查找一个CALL 其第一个参数是0(push 0)find EIP, #6A??e8#//查找一个带参数CALL 一个?代表一个字符变量find EIP, "kernel32.dll"//查找字符串find EIP, "ker???32.d??"//一个?代表一个字符串变量 find eip,15ff //查找内存数据15fffindcom 401000,"push eax"gapi 地址得到指定代码处的API调用信息GMI 地址,信息(模块基地址等等)gmi eip,codebase //$RESULT等于当前所在模块的代码段基地址GP 401005GPA 函数名,动态链接库名//得到指定函数地址gpa "MessageBoxA", "user32.dll"//$RESULT=函数MessageBoxA的地址bp $RESULTlm 0401000,0x100,"test.bin" //引到内存dm()opcode addr //反汇编指定地址处的代码opcode 00401000 //$RESULT opcode $RESULT_1汇编代码 _2字节数repl 地址,查找字符串,替换字符串,长度repl eip,#6a00#,#6b00#,10//10个字节以内retwrt "out.txt",ebx写数据给文件 //覆盖wrta 附加wrta sFile,"\n"找CALL /JMP找到 CODE 中指向 VMP1段 的CALLvar fivar sFilemov sFile,"log.txt"mov fi,00401000loop:inc fifind fi,#E8??????00# //cmp $RESULT,0je exitmov fi,$RESULTgci fi,DESTINATION//获取当前命令的目标地址cmp $RESULT,460000jb loopcmp $RESULT,497000jae loopwrta sFile,fiwrta sFile,"\r\n"jmp loopexit:ret
