ollydbg :: 02 용도 및 사용법

0. 용도

 

OllyDbg : 개발한 Oleh Yuschuk 의 이름을 딴, 바이너리 코드 분석을 위한 x86 디버거이다.

 

소스 코드가 없을 때 유용하게 사용된다.

 

- 레지스터 추적

- 함수, API 호출

- Switch 문, table, 상수, 문자열 인식

- 오브젝트 파일과 라이브러리에서 루틴들의 위치를 찾아줌

 

 

 

1. 파일 열기

 

: file->ofen  or  F3  or 분석하려는 파일을 끌어다가 놓기

 

 

 

1 :: 주소 창 : 명령어가 실행되는 주소

2 :: OP코드 창 : 기계어

3 :: 디스어셈블리 창 : 어셈블리어

4 :: 레지스터 창 : 레지스터의 값을 표시해주는 창

5 :: 메모리 덤프 창 : 주소, Hex dump, 각 Hex 에 따른 ASCII 코드로 해석된 내용

6 :: 스택 창 : 스택 주소, 값, comment 순으로 출력

 

 

여기서 1,2,3 부분을 통틀어서 Code Window,

4 부분을 Register Window,

5 부분을 Dump Window,

6 부분을 Stack Window 라고 부른다.

 

 

 

 

2. 유용한 단축키

 

F9	Run
Ctrl + F2	Restart 프로세스 종료 후 처음부터 디버깅 시작
F2	Break Point 설정 / 해제
F7	strp into 한 줄씩 실행, CALL 에서 함수 내부로 들어감
F8	step over 한 줄씩 실행, CALL 에서 함수로 들어가지 않고 진행
Ctrl + F9	Execute till return RETN 명령어가 나올 때까지 실행
F4	Execute till cursor 커서 위치(현재 위치)까지 실행
우클릭  -> Copy to executable	파일의 복사본 생성
Ctrl + G	검색

 

기타 단축키 : http://www.ollydbg.de/quickst.htm

 

.

 

3. 간단한 사용법 팁

 

1) 문자열 검색

 

우클릭 -> Search for -> All referenced text strings

 

 

해당 프로그램에서 사용하는 문자열들을 확인할 수 있다.

 

조건문에서 어떤 텍스트들을 출력하는지 등을 알 수 있다 !

 

 

2) 모든 CALL 검색

 

우클릭 -> Search for -> All intermodular calls

 

 

모든 CALL 을 볼 수 있다.

 

3) 메모리 영역 확인

 

특정 명령어의 주소가 어떤 section 에 포함되는지 , 각 section 이 어떤 권한을 가지고 있는지 등을 알 수 있다.

 

 

4) 실행 중인 쓰레드 확인