OD常见问题

Q: OD中如何运行到光标所在处？

A: 将光标移到目标位置，按F4.

Q: 如何用OD修改可执行程序？

A：直接在反汇编代码区更改,这时可以使用汇编代码更改,然后选中修改后的汇编代码，右击-->复制到可执行文件-->保存文件.

Q:OD中的代码乱码，如：

004365E0 >db 68 ; CHAR 'h'

004365E1 >db A4

004365E2 >db 7A ; CHAR 'z'

004365E3 >db E5

004365E4 >db B8

004365E5 >db E8

004365E6 >db BB

A:OD右键，"分析/从模板中删除分析"，如不行，按Ctrl+A重新分析

Q:OD为什么删除了断点，重新加载的时候，这些断点都会重新出现

A:设置ollydbg.ini，将配制文件里改成如下：Backup UDD files=1 (by kanxue)

Q：如何还原到OD到分析前的状态?

A：右键分析/从模块中删除扫描

Q：什么是UDD？

A：OllyDbg 把所有程序或模块相关的信息保存至单独的文件中，并在模块重新加载时继续使用。这些信息包括了标签、注释、断点、监视、分析数据、条件等等

Q:OD的数据窗口显示一个下划线，是什么意思？

A:重定位加下划线［Underline fixups］，几乎所有的DLL和一部分程序都包含重定位，这样就可以在内存中的不同基地址加载模块了。当该项开启时，CPU反汇编窗口或CPU数据窗口中的重定位地址都将添加下划线。（xing_xsz）

Q：如果已经知道某一CALL的具体作用,能否把后面所有相同的CALL都改成函数名形式?

[hide]A：比如 CALL 110000 此中已经知道110000是一个核心计算

则如下操作,让光标停在CALL 110000 这个语句上,按回车键

会跳到110000的地址上去显示,之后让光标停在110000上,按

shift 和; (分号) 其实就是完成一个:(冒号)的动作,输入

名称,这回所有的调用110000处,都会显示CALL 你刚才输入的

名称了.(nig回答)

Q：用OD调试一些加壳程序，如Themida等，可能你会发现下断后（包括硬件断点），程序跑到断点时，OD会出现假死现像。

A：打开OD配置文件ollydbg.ini，你会发现：Restore windows= 123346 //这个Restore windows可能会是一个很大的值

现在只需要将Restore windows＝0，重新用OD调试程序，假死问题就消失了。 (kanxue)

Q:ollydbg中如何调用pdb文件？ 

A:

pdb文件是VC++调试编译生成的文件。由编译器直接生成。

pdb文件要配合源文件使用。不同的源文件pdb文件不同。

用OD装入可执行文件后，点击CPU窗口中的注释段可出现源码。

不过不是所有的源码都可以显示的。VC++6.0以下都可以显示。

还有一种不显示的原因是缺少路径。点击OD主菜单的[查看]->[源文件]

如果[源码]段出现(缺少)字样的话，说明此路径的源码是看不了的。设置正确的路径就可以了。

（nantz回答）

Q：运行A.exe，其会调用B.exe，如果用OD再附加B.exe，OD会死掉

A：

1.OD菜单，设置OD为即时调试器；

2.将B.exe的入口改成CC，即INT 3指令，同时记下原指令

3.运行A.exe，其调用B.exe，会导致异常，OD会自动启动加载B.exe，此时你将INT 3指令恢复原指令。

4.到这步，你己可以任意调试B.exe了(kanxue)

Q:用ollydbg调试的时候，断住kernel32.dll系统函数，然后”执行到用户代码“，就可以回到被调程序的代码。但有时候却回不来，不知道这又是为什么？

A:

多半是杀毒软件（如卡巴对LoadLibraryA）Hook API入口代码进入ring 0了，OllyDbg不能单步跟踪，这种情况下只要看堆栈返回地址，在返回地址上下端点，F9执行就可以了。（cyclotron回答）

Q:OD的“复制可执行文件”后面没有 “所有修改”的菜单

A:OD识别代码段范围失败后, 没有复制all modifications的选项, 因为这个是复制代码段内的修改的。（曾半仙回答）

Q:OD里的patch窗口怎么用？

A:patch窗口用来保存你在调试的程序中修改过的代码的。比如你前面调试了一个程序，在OD中把某处的JE改成了JMP，OD会在patch中记录这个修改，你下次再重新载入程序时，就能在OD的patch窗口中看到你原来改动的代码。按空格键就可以激活patch，就是在OD中还把原来位置的JE改成JMP。这个只是在OD中作更改，并没有实际保存到文件，主要是比较方便在OD中修改程序时测试。(CCDebuger回答)

OD实用技巧六则 

                              dOSKEY lEE 

关键词： OllyDbg、OD、技巧 

1、让跳转路径显示出来 

    打开Options\Debugging Option。弹出Debugging Option对话框，选择CPU页，选定 

“Show direction to jumps”、“Show jump path”和“Show grayed path if jump is 

not taken”。如此以来在Disassembler窗口就会显示跳转的路径了。 

2、让OD显示MFC42.DLL中的函数 

    如果程序是用MFC进行的动态编译，那么在OD中将只能显示MFC42.DLL中的函数为： 

00410E40  |.  E8 43000000  CALL    <JMP.&MFC42.#1576> 

1576是函数在MFC42.DLL中的序号。打开Debug\Select import libraries，单击弹出的对话 

框中“Add”，在弹出的打开文件对话框中选择“MFC42.LIB”并打开，重新载入MFC程序， 

你就可以看见函数名称变为： 

00410E40  |.  E8 43000000  CALL    <JMP.&MFC42.#1576_?AfxWinMain@@Y> 

[hide]IDA中分析出了来的东西一样了！呵呵，以后不用等待IDA的“细嚼慢咽”也可以轻松搞定 

MFC程序了。其他的DLL类似，如果有序号，可以在VC的LIB目录中找到相关的.LIB文件，加 

到OD中便可。如果你没有“MFC42.DLL”，你可以的到新论坛的下载区找，我已经上传到那 

里了。 

3、让OD轻松躲过“ANTI-DEBUG” 

    很多“ANTI-DEBUG”的程序都是在程序开始时来检查是否安装调试器的。用这种特性我 

们可以轻松的用OD的“Attach”绕过检查部分。如“X语言”，如果你哟内TRW2K/S-ICE/OD 

直接加载它的话，程序回警告你安装了调试器并结束。但是我们在“X语言”开启后再运行 

OD，并用“Attach”系上它就就可以了，轻松通过检查。而且在OD系上它后仍然可以用 

CTRL+A进行分析。如此一来，快哉！：） 

4、轻松对付调用“MessageBoxA”以及类似的模态对话框的程序 

    很多人都认为OD不好拦截“MessageBoxA”这类API函数。其实我们有个很简单的办法将 

API拦截下来，并且快速找到比较地点/主算法地点。首先用OD加载目标程序，如果不能加载， 

用上面的方法“Attach”目标程序。然后，F9运行目标程序，并且有意让目标程序显示“ 

MessageBox”，然后切换到OD中，F12暂停，如 

0041201F  |>  53            PUSH    EBX                    ; /Style 

00412020  |.  57            PUSH    EDI                    ; |Title 

00412021  |.  FF75 08      PUSH    [ARG.1]                ; |Text 

00412024  |.  FF75 F4      PUSH    [LOCAL.3]              ; |hOwner 

00412027  |.  FF15 A8534100 CALL    DWORD PTR DS:[4153A8]  ; \MessageBoxA 

0041202D  |.  85F6          TEST    ESI, ESI              ; 停在此处 

0041202F  |.  8BF8          MOV    EDI, EAX 

00412031  |.  74 05        JE      SHORT 1551-CRA.00412038 

F8单步一下，切换到“MessageBox”中，确认，被OD中断。我们可以看见上面的代码41201F 

处有一个“〉”，说明可以从某段代码跳转到此处，我们选择41201F这一行，在 

“Information”栏看见一句“JUMP FROM 412003”，右键单击，选择“GO TO JUMP FROM 

412003”。回到412003，一般都是条件跳转，上面的内容就是比较的地方啦。：） 

5、使用OD的TRACK功能 

    OD拥有强大的TRACK功能，在分析算法时十分有用。首先我们要设定OD的TRACK缓冲区大 

小，选择Option\Debugging Option，在弹出的对话框中选择TRACK页， 

“Size of run track buffer(byte/record)”，缓冲区大小，当然约大约好。其他的设置 

在我以前的OLLYDBG.INI中都已经设置好了。然后，开启目标程序，在DEBUG中选择“Open 

or clear run track”。然后我们就可以用CTRL+F11或CTRL+F12开启“Track into”和“ 

Track over”了。当我们暂停程序的时候，可以用小键盘上的“+”，“-”，“*”来控制 

TRACK功能了。 

“Track into”和运行类似，但是记录所有指令以及寄存器变化。并且会自动进入所有的 

CALL中。 

“Track over”和“Track into”类似，但是不进入CALL 

“+”用来显示TRACK缓冲区中的下一条指令 

“-”用来显示TRACK缓冲区中的上一条指令 

“*”用来发返回当前指令 

6、不是技巧的技巧 

    当你遇到花指令的时候一定会很头痛。但是如果你用OD进行分析的时候就会轻松得多。 

OD会自动标识出无效指令，即花指令。如果OD没有正确识别，你还可以用CTRL+↑/↓来单个 

字节的移动。可以很有效的识别出花指令的所在