ODB调试指令汇总

附个断点表：

常用断点(OD中)

拦截窗口：

bp CreateWindow 创建窗口

bp CreateWindowEx(A) 创建窗口

bp ShowWindow 显示窗口

bp UpdateWindow 更新窗口

bp GetWindowT ext(A) 获取窗口文本

拦截消息框：

bp MessageBox(A) 创建消息框

bp MessageBoxExA 创建消息框

bp MessageBoxIndirect(A) 创建定制消息框

bp IsDialogMessageW

拦截警告声：

bp MessageBeep 发出系统警告声(如果没有声卡就直接驱动系统喇叭发声)

拦截对话框：

bp DialogBox 创建模态对话框

bp DialogBoxParam(A) 创建模态对话框

bp DialogBoxIndirect 创建模态对话框

bp DialogBoxIndirectParam(A) 创建模态对话框

bp CreateDialog 创建非模态对话框

bp CreateDialogParam(A) 创建非模态对话框

bp CreateDialogIndirect 创建非模态对话框

bp CreateDialogIndirectParam(A) 创建非模态对话框

bp GetDlgItemText(A) 获取对话框文本

bp GetDlgItemInt 获取对话框整数值

拦截剪贴板：

bp GetClipboardData 获取剪贴板数据

拦截注册表：

bp RegOpenKey(A) 打开子健

bp RegOpenKeyEx 打开子健

汇编语言调试DEBUG命令详解

1、显示命令D

① D [地址]

② D [范围]

如不指定范围，一次显示8行×16个字节。

－D ；默认段寄存器为DS，当前偏移地址

－D DS:100 / －D CS:200

－D 200:100

－D 200；200为偏移地址，默认段寄存器DS

－D DS:100 110/ －D 100 L 10

2.修改命令E

① E 地址；从指定地址开始，修改（或连续修改）存储单元内容。DEBUG首先显示指定单元内容，如要修改，可输入新数据；空格键显示下一个单元内容并可修改，减号键显示上一个单元内容并可修改；如不修改，可直接按空格键或减号键；回车键结束命令。

② E 地址数据表；从指定的地址开始用数据表给定的数据修改存储单元。

－E DS:100 F3 ‘AB’ 8D。

3.添充命令F

F 范围数据表；

将数据表写入指定范围的存储单元；数据个数多，忽略多出的数据，个数少，则重复使用数据表。

－F DS:0 L5 01,02,03,04,05

－F DS:0 L5 01 02 03 04 05（空格分隔）

－F DS:0 L5 FF ；5个字节重复使用FF

4.显示修改寄存器命令R

R；★显示所有寄存器和标志位状态；

★显示当前CS：IP指向的指令。

显示标志时使用的符号：

标志标志=1 标志=0

OF OV NV

DF DN UP

IF EI DI

SF NG PL

ZF ZR NZ

AF AC NA

PF PE PO

CF CY NC

5.汇编命令A

A [地址]；从指定的地址开始输入符号指令；如省略地址，则接着上一个A命令的最后一个单元开始；若第一次使用A命令省略地址，则从当前CS:IP 开始（通常是CS：100）。

DEBUG主要命令

DEBUG是为汇编语言设计的一种调试工具，它通过单步、设置断点等方式为汇编语言程序员提供了非常有效的调试手段。

1．DEBUG程序的调用

在DOS的提示符下，可键入命令：

C:>DEBUG [d:][path][文件名][参数1][参数2]

其中文件名是被调试文件的名字，它必须是可执行文件（EXE），两个参数是运行被调试文件所需要的命令参数，在DEBUG程序调入后，出现提示符“－”，此时，可键入所需的DEBUG命令。

2．DEBUG的主要命令

⑴显示内存单元内容的命令D，格式为：

-D [地址] 或-D [范围]

例如，显示指定范围内存单元内容的方法为：

-D 100 1FF

18E4:0100 47 06 04 02 38 01 47 06 －06 02 00 02 47 06 08 02 G．．．8．G．．．．．G．．．

18E4:0110 02 02 3B 04 02 68 02 00 －4D 20 50 51 56 57 8B 37 ．．；．．h．．M PQVW．7 其中左边为十六进制表示形式，右边为ASCII码表示形式，“．”表示不可显示字符。这里没有指定段地址，D命令自动显示DS段的内容。

⑵修改内存单元内容的命令E，它有两种格式

1)用给定内容代替指定范围的单元内容，格式为：

-E 地址内容表

例如：-E DS:100 F358595A8D，即用F3，58，59，5A，8D五个字节代替内存单元DS:100到DS:104的内容。

2)逐个单元相继地修改，格式为：

-E 地址

例如：-E DS:100

1）基本概念

日志文件：仿真日志（DES log，Discrete Event Simulation log）和错误日志（Error log）。它的内容是在仿真过程中由进程调用OPNET 函数

op_prg_log_handle_create ()op_prg_log_entry_write ()写入的。在Help 菜单下可以打开错误日志文件。错误日志文件以文本方式保存为

/op_admin/err_log，除了在菜单中打开也可以在OPNET 控制台（console）窗口输入op_vuerr 命令查看。它包含了函数调用堆栈信息，我们可以从函数阶层性的调用关系中精确定位出错位置。

在编写函数时必须使用FIN（function begin）、FOUT（function out）、FRET（function return）等界定函数范围的标识符，而且必须使它们配对。编写程序时切记使FIN 和FOUT/FRET 配对。要产生ODB 调试信息，必须将仿真核心类型设定为development，优化的仿真核心（optimized）为了加快仿真速度不产生ODB 调试信息。之后我们还需要在仿真属性中包含debug 环境变量。

ODB 为控制和管理仿真行为提供一个交互式环境。ODB 支持断点（Breakpoint）定义，跟踪并显示仿真诊断信息。ODB 功能的实现有赖于进程模型中编写相应的程序支持，作为ODB 指令激活调试状态（breakpoint、trace 和action）的依据，可以在ODB 窗口中输入help查看感兴趣的指令。

OLLYDBG汇编指令

OllyDbg是一款在Windows平台上广泛使用的调试器，主要用于逆向工程和漏洞分析。在使用OllyDbg进行反汇编和调试时，掌握常见的汇编指令是至关重要的。以下是一些常见的x86汇编指令以及它们在OllyDbg中的使用和解释。

1.

MOV - 数据传送指令

assembly

MOV destination, source

描述：

用于将源操作数的内容传送到目标操作数中。

示例：

assembly

MOV EAX, DWORD PTR DS:[ESI]

将

DS

段中

ESI

偏移处的32位数据传送到

EAX

寄存器。

2.

ADD - 加法指令

assembly

ADD destination, source

描述：

将源操作数的值加到目标操作数上。

示例：

assembly

ADD ECX, 5

将

ECX

寄存器的值加上5。

3.

SUB - 减法指令

assembly

SUB destination, source

描述：

从目标操作数中减去源操作数的值。

示例：

SUB EDX, 10

将

EDX

寄存器的值减去10。

4.

CMP - 比较指令

assembly

CMP operand1, operand2

描述：

比较两个操作数的值，但不修改它们。

示例：

assembly

CMP EAX, EBX

比较

EAX

和

EBX

的值。

5.

JMP - 无条件跳转指令

assembly

JMP destination

描述：

无条件跳转到指定的目标地址。

示例：

assembly

JMP 0x401000

无条件跳转到地址

0x401000

。

6.

JE/JZ - 条件跳转指令

原文链接：/zhoumhan_0351/blog/static/399542272009826105222389/（本文图片需用鼠标点击方可看到，其他转帖图片根本无法看到）

整理：袁嘉璐

10、OpNET的ODB调试

1）基本概念

日志文件：仿真日志（DESlog，DiscreteEventSimulationlog）和错误日志（Errorlog）。它的内容是在仿真过程中由进程调用OPNET函数

op_prg_log_handle_create()op_prg_log_entry_write()写入的。在Help菜单下可以打开错误日志文件。错误日志文件以文本方式保存为

/op_admin/err_log，除了在菜单中打开也可以在OPNET控制台（console）窗口输入op_vuerr命令查看。它包含了函数调用堆栈信息，我们可以从函数阶层性的调用关系中精确定位出错位置。

在编写函数时必须使用FIN（functionbegin）、FOUT（functionout）、FRET （functionreturn）等界定函数范围的标识符，而且必须使它们配对。编写程序时切记使FIN和FOUT/FRET配对。要产生ODB调试信息，必须将仿真核心类型设定为development，优化的仿真核心（optimized）为了加快仿真速度不产生ODB调试信息。之后我们还需要在仿真属性中包含debug环境变量。

ODB为控制和管理仿真行为提供一个交互式环境。ODB支持断点（Breakpoint）定义，跟踪并显示仿真诊断信息。ODB功能的实现有赖于进程模型中编写相应的程序支持，作为ODB指令激活调试状态（breakpoint、trace和action）的依据，可以在ODB窗口中输入help查看感兴趣的指令。ODB常用的指令分为basic，event，object，packet，stop，trace，process几类。Basic类

适用于OllyDbg 的快捷命令栏插件（显示于程序的状态栏上方）CALC

判断表达式

WATCH

添加监视表达式

AT / FOLLOW

Disassemble at address

在地址进行反汇编

ORIG

Disassemble at EIP

反汇编于EIP

DUMP

Dump at address

在地址转存

DA

Dump as disassembly

转存为反汇编代码

DB

Dump in hex byte format

转存在十六进制字节格式

DC

Dump in ASCII format

转存在ASCII 格式

DD

Dump in stack format

转存在堆栈格式

DU

Dump in UNICODE format

转存在UNICODE 格式DW

Dump in hex word format 转存在十六进制字词格式STK

Go to address in stack

前往堆栈中的地址

AS + 地址+ 字符串Assemble at address

在地址进行汇编

L + 地址+ 字符串Label at address

在地址进行标号

C + 地址+ 字符串Comment at address

在地址进行注释

BP

Break with condition

使用条件中断

BPX

Break on all calls

中断在全部调用

BPD

Delete break on all calls 清除位于全部调用的断点BC

Delete breakpoint

清除断点

MR

Memory breakpt on access 内存断点于访问时

MW

Memory breakpt on write

DEBUG主要命令

DEBUG是为汇编语言设计的一种调试工具，它通过单步、设置断点等方式为汇编语言程序员提供了非常有效的调试手段。

一、DEBUG程序的调用

在DOS的提示符下，可键入命令：

C:\DEBUG [D:][PATH][FILENAME[.EXT>[PARM1][PARM2]

其中，文件名是被调试文件的名字。如用户键入文件，则DEBUG将指定的文件装入存储器中，用户可对其进行调试。如果未键入文件名，则用户可以用当前存储器的内容工作，或者用DEBUG命令N和L把需要的文件装入存储器后再进行调试。命令中的D指定驱动器PATH为路径，PARM1和PARM2则为运行被调试文件时所需要的命令参数。

在DEBUG程序调入后，将出现提示符，此时就可用DEBUG命令来调试程序。

二、DEBUG的主要命令

1、显示存储单元的命令D(DUMP)，格式为：

_D[address]或_D[range]

例如，按指定范围显示存储单元内容的方法为：

-d100 120

18E4:0100 c7 06 04 02 38 01 c7 06-06 02 00 02 c7 06 08 02 G...8.G.....G...

18E$:0110 02 02 bb 04 02 e8 02 00-CD 20 50 51 56 57 8B 37 ..;..h..M PQVW.

7

18E4:0120 8B

其中0100至0120是DEBUG显示的单元内容，左边用十六进制表示每个字节，右边用ASCII字符表示每个字节，·表示不可显示的字符。这里没有指定段地址，D命令自动显示DS段的内容。如果只指定首地址，则显示从首地址开始的80个字节的内容。如果完全没有指定地址，则显示上一个D命令显示的最后一个单元后的内容。

常用汇编指令的认识

软件破解常用汇编指令

cmp a,b // 比较a与b

mov a,b // 把b值送给a值，使a=b

ret// 返回主程序

nop// 无作用

call// 调用子程序，子程序以ret结尾 je或jz// 相等则跳（机器码是74或84） jne或jnz// 不相等则跳（机器码是75或85） jmp// 无条件跳（机器码是EB）

jb// 若小于则跳

ja// 若大于则跳

jg// 若大于则跳

jge// 若大于等于则跳

jl// 若小于则跳

pop xxx// xxx出栈

push xxx// xxx压栈

★★破解经典句式★★

1.(最常用)

mov eax [ ]

mov edx [ ]

call 00?????? 关键call

test eax eax

jz(jnz)或 jne(je) 关键跳转

2 (最常用)

mov eax [ ]

mov edx [ ]

call 00??????关键call

jne(je)关键跳转

3

mov eax [ ]

mov edx [ ]

cmp eax,edx

jnz(jz)

4

lea edi [ ]

lea esi [ ]

repz cmpsd

jz(jnz)

5

mov eax [ ]

mov edx [ ]

call 00??????

setz (setnz) al (bl,cl…)

6

mov eax [ ]

mov edx [ ]

call 00??????

test eax eax

setz (setnz) bl,cl…

7

call 00?????? ***

push eax (ebx,ecx…)

……

调试技巧总结-原理和实现

-------------------------------------------------------------------------------------------------------

2008.8.7 shellwolf

一、前言

前段学习反调试和vc，写了antidebug-tester，经常会收到message希望交流或索要实现代码，我都没有回复。其实代码已经在编程版提供了1个版本，另其多是vc内嵌asm写的，对cracker而言，只要反下就知道了。我想代码其实意义不是很大，重要的是理解和运用。做个简单的总结，说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。

部分代码和参考资料来源：

1、<<脱壳的艺术>> hawking

2、<<windows anti-debugger reference>> Angeljyt

3、

4、<<软件加密技术内幕>> 看雪学院

5、<<ANTI-UNPACKER TRICKS>> Peter Ferrie

我将反调试技巧按行为分为两大类，一类为检测，另一类为攻击，每类中按操作对象又分了五个小类：

1、通用调试器包括所有调试器的通用检测方法

2、特定调试器包括OD、IDA等调试器，也包括相关插件，也包括虚拟环境

3、断点包括内存断点、普通断点、硬件断点检测

4、单步和跟踪主要针对单步跟踪调试

5、补丁包括文件补丁和内存补丁

ODB命令及使用

一、概述

ODB（Object Database）是面向对象的数据库管理系统，它是基于对象的数据模型的数据库，在ODB中数据是以对象的形式存储和管理的。ODB提供了一组命令和语法来操作和管理数据库中的对象。

二、常用命令

1. 创建数据库：CREATE DATABASE [database_name]

创建一个新的ODB数据库。

2. 连接数据库：CONNECT DATABASE [database_name]

连接到已存在的ODB数据库。

3.断开连接：DISCONNECTDATABASE

断开与当前数据库的连接。

4.显示数据库：SHOWDATABASES

显示所有可用的ODB数据库列表。

5. 创建类：CREATE CLASS [class_name]

创建一个新的对象类。

6.显示类：SHOWCLASSES

显示所有已存在的对象类。

7. 插入对象数据：INSERT INTO [class_name] [column_name=value]

向指定类中插入新的对象数据。

8. 更新对象数据：UPDATE [class_name] SET [column_name=value] WHERE [condition]

更新类中满足条件的对象数据。

9. 删除对象数据：DELETE FROM [class_name] WHERE [condition]

删除类中满足条件的对象数据。

10. 查询对象数据：SELECT * FROM [class_name] WHERE [condition]

查询类中满足条件的对象数据。

debug指令⼤全

⼀、预习内容

预习DEBUG程序的各种命令功能及使⽤⽅法。

⼆、实验⽬的

1、掌握DEBUG程序的各种命令，重点是A，R，D，E，U，T，G，N，W，Q等命令的使⽤。

2、掌握⽤DEBUG调试⾃编程序的⽅法，为以后实验打下基础。

三、实验内容

1、⽤命令A汇编下列指令，并判断指令正误并说明原因。

（1）ROR AX，8

（2）LEA DI，[AX]

（3）MOV DS，2010

（4）PUSH AL

（5）OUT 900，AL

（6）MOV [BX]，0

2、掌握⽤DEBUG编写程序的⽅法。

C:\MASM>DEBUG

-A

136E:0100 MOV DX, 10C

136E:0103 MOV AH, 9

136E:0105 INT 21

136E:0107 MOV AX, 4C00

136E:010A INT 21

136E:010C

-E10C 'Hello!$'

-R CX ；⽂件字节数写在CX中

CX 0000

:13

-N /doc/57f16180d4d8d15abe234ef1.html ；给⽂件命名

-W；写⼊到磁盘中

Writing 00013 bytes

-G

Hello!

C:\MASM> DEBUG /doc/57f16180d4d8d15abe234ef1.html

-U

-G

-Q

四、问题

1、在指令MOV [BX]，AX中，操作数[BX]的寻址⽅式是什么？在DEBUG下执⾏完该指令后，如何查看执⾏结果？

2、可否随意在DEBUG提⽰符“-”后不带参数发出命令G？什么情况下使⽤命令G时，可不⽤“=”给出程序的⾸地址？

调试技巧总结-原理和实现

-------------------------------------------------------------------------------------------------------

2008.8.7 shellwolf

一、前言

前段学习反调试和vc，写了antidebug-tester，经常会收到message希望交流或索要实现代码，我都没有回复。其实代码已经在编程版提供了1个版本，另其多是vc内嵌asm写的，对cracker而言，只要反下就知道了。我想代码其实意义不是很大，重要的是理解和运用。做个简单的总结，说明下实现原理和实现方法。也算回复了那些给我发Message的朋友。

部分代码和参考资料来源：

1、<> hawking

2、<> Angeljyt

3、

4、<> 看雪学院

5、<> Peter Ferrie

我将反调试技巧按行为分为两大类，一类为检测，另一类为攻击，每类中按操作对象又分了五个小类：

1、通用调试器包括所有调试器的通用检测方法

2、特定调试器包括OD、IDA等调试器，也包括相关插件，也包括虚拟环境

3、断点包括内存断点、普通断点、硬件断点检测

4、单步和跟踪主要针对单步跟踪调试

5、补丁包括文件补丁和内存补丁

反调试函数前缀

检测攻击

通用调试器 FD_ AD_

特定调试器 FS_ AS_

断点 FB_ AB_

单步和跟踪 FT_ AT_

补丁 FP_ AP_

声明：

1、本文多数都是摘录和翻译，我只是重新组合并翻译，不会有人告侵权吧。里面多是按自己的理解来说明，可能有理解错误，或有更好的实现方法，希望大家帮忙指出错误。

1）基本概念

日志文件：仿真日志（DES log，Discrete Event Simulation log）和错误日志（Error log）。它的内容是在仿真过程中由进程调用OPNET 函数

op_prg_log_handle_create ()op_prg_log_entry_write ()写入的。在Help 菜单下可以打开错误日志文件。错误日志文件以文本方式保存为

<home>/op_admin/err_log，除了在菜单中打开也可以在OPNET 控制台（console）窗口输入op_vuerr 命令查看。它包含了函数调用堆栈信息，我们可以从函数阶层性的调用关系中精确定位出错位置。

在编写函数时必须使用FIN（function begin）、FOUT（function out）、FRET（function return）等界定函数范围的标识符，而且必须使它们配对。编写程序时切记使FIN 和FOUT/FRET 配对。要产生ODB 调试信息，必须将仿真核心类型设定为development，优化的仿真核心（optimized）为了加快仿真速度不产生ODB 调试信息。之后我们还需要在仿真属性中包含debug 环境变量。

ODB 为控制和管理仿真行为提供一个交互式环境。ODB 支持断点（Breakpoint）定义，跟踪并显示仿真诊断信息。ODB 功能的实现有赖于进程模型中编写相应的程序支持，作为ODB 指令激活调试状态（breakpoint、trace 和action）的依据，可以在ODB 窗口中输入help<参数：all，basic，action，event，memeory，misc，object，packet，process，scripting，stop，trace>查看感兴趣的指令。

以下命令适用于OllyDbg 的快捷命令栏插件（显示于程序的状态栏上方）CALC

判断表达式

WATCH

添加监视表达式

AT / FOLLOW

Disassemble at address

在地址进行反汇编

ORIG

Disassemble at EIP

反汇编于EIP

DUMP

Dump at address

在地址转存

DA

Dump as disassembly

转存为反汇编代码

DB

Dump in hex byte format

转存在十六进制字节格式

DC

Dump in ASCII format

转存在ASCII 格式

DD

Dump in stack format

转存在堆栈格式

DU

Dump in UNICODE format

转存在UNICODE 格式DW

Dump in hex word format 转存在十六进制字词格式STK

Go to address in stack

前往堆栈中的地址

AS + 地址+ 字符串Assemble at address

在地址进行汇编

L + 地址+ 字符串Label at address

在地址进行标号

C + 地址+ 字符串Comment at address

在地址进行注释

BP

Break with condition

使用条件中断

BPX

Break on all calls

中断在全部调用

BPD

Delete break on all calls 清除位于全部调用的断点BC

Delete breakpoint

清除断点

MR

Memory breakpt on access 内存断点于访问时

MW

Memory breakpt on write

免杀修改特征码需要熟练掌握的汇编知识一.机械码,又称机器码.C32ASM打开,编辑exe文件时你会看到许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码就是机器码.修改程序时必须通过修改机器码来修改exe文件.二.需要熟练掌握的全部汇编知识(只有这么多)不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了cmp a,b 比较a与bmov a,b 把b的值送给aret 返回主程序nop 无作用,英文“no operation”的简写，意思是“do nothing”(机器码90)***机器码的含义参看上面(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)call 调用子程序je 或jz 若相等则跳(机器码74 或0F84)jne或jnz 若不相等则跳(机器码75或0F85)jmp 无条件跳(机器码EB)jb 若小于则跳ja 若大于则跳jg 若大于则跳jge 若大于等于则跳jl 若小于则跳jle 若小于等于则跳pop 出栈push 压栈三.常见修改(机器码)74=>75 74=>90 74=>EB75=>74 75=>90 75=>EBjnz->nop75->90(相应的机器码修改)jnz -> jmp75 -> EB(相应的机器码修改)jnz -> jz75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改)四.两种不同情况的不同修改方法1.修改为jmpje(jne,jz,jnz) =>jmp相应的机器码EB （出错信息向上找到的第一个跳转）jmp的作用是绝对跳，无条件跳，从而跳过下面的出错信息xxxxxxxxxxxx 出错信息，例如：注册码不对，sorry,未注册版不能...，"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in Shareware/Demo"等 （我们希望把它跳过，不让它出现）。。。。。。xxxxxxxxxxxx 正确路线所在2.修改为nopje(jne,jz,jnz) =>nop相应的机器码90 （正确信息向上找到的第一个跳转） nop的作用是抹掉这个跳转，使这个跳转无效，失去作用，从而使程序顺利来到紧跟其后的正确信息处xxxxxxxxxxxx 正确信息，例如：注册成功，谢谢您的支持等（我们希望它不被跳过，让它出现，程序一定要顺利来到这里）。。。。。。xxxxxxxxxxxx 出错信息（我们希望不要跳到这里，不让它出现）它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据. 1. 通用数据传送指令. MOV 传送字或字节. MOVSX 先符号扩展,再传送. MOVZX 先零扩展,再传送. PUSH 把字压入堆栈. POP 把字弹出堆栈. PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈. POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈. PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈. POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈. BSWAP 交换32位寄存器里字节的顺序 XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数) CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL