OllyDbd工具

介绍

OllyDbg是一种具有可视化界面的32位汇编分析调试器，是一个新的动态追踪工具，将IDA与SoftICE结合起来的思想，Ring3级调试器，非常容易上手，己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能，是目前最强大的调试工具。

通过此地址 http://www.ollydbg.de/ 可以下载我下载的是1.10版本，还有高版本2.00版本，在Windows环境下载完.zip文件，然后解压后直接运行OLLYDBG.EXE文件即可。

打开软件如图：

反汇编窗口：显示被调试程序的反汇编代码，标题栏上的Address(地址)、Hex dump(HEX 数据)、Disassembly(反汇编)、Comment(注释)可以通过在窗口中右击出现的菜单 Appearance->Hide bar 或 Show bar 来进行切换是否显示。用鼠标左键点击注释标签可以切换注释显示的方式。
寄存器窗口：显示当前所选线程的 CPU 寄存器内容。同样点击标签寄存器 (FPU) 可以切换显示寄存器的方式。
信息窗口：显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。
数据窗口：显示内存或文件的内容。右键菜单可用于切换显示方式。
堆栈窗口：显示当前线程的堆栈。

以下为调试时的快捷键

F2：设置断点，只要在光标定位的位置（上图中灰色条）按F2键即可，再按一次F2键则会删除断点。（相当于 SoftICE 中的 F9）
F8：单步步过。每按一次这个键执行一条反汇编窗口中的一条指令，遇到 CALL 等子程序不进入其代码。（相当于 SoftICE 中的 F10）
F7：单步步入。功能同单步步过(F8)类似，区别是遇到 CALL 等子程序时会进入其中，进入后首先会停留在子程序的第一条指令上。（相当于 SoftICE 中的 F8）
F4：运行到选定位置。作用就是直接运行到光标所在位置处暂停。（相当于 SoftICE 中的 F7）
F9：运行。按下这个键如果没有设置相应断点的话，被调试的程序将直接开始运行。（相当于 SoftICE 中的 F5）
CTR+F9：执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停，常用于从系统领空返回到我们调试的程序领空。（相当于 SoftICE 中的 F12）
ALT+F9：执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。（相当于 SoftICE 中的 F11）