Ollydbg 설명

oogu ㅣ 2022. 7. 30. 11:57

OllyDbg

 - 프로그램을 분석할때 사용하는 디버거이다.
 - 올리디버거로 실행 파일을 오픈하면 Address of Entry Point(프로그램 코드 시작)에서 시작한다.
 - 선수 지식 : 어셈블리어, PE 파일 구조, DLL 기본 개념, 메모리 주소 관련


F8         코드 한줄 실행
F4         마우스로 선택한 주소까지 이동
F9         코드 전체 실행
Ctrl+F2 프로그램 재실행

F2         브레이크 포인트 지정 (한번더 누르면 해지)
F7         함수 내부 진입

Ctrl+g   주소 이동(코드 윈도우, 메모리 윈도우 각각 사용 가능)
*            현재 위치로 이동(즉, EIP에 저장된 주소로 이동함)

 - 코드 영역에서 스페이스 or 마우스 더블클릭을 실시하면 코드를 변경할 수 있다.

 - 다음과 같이 설정하면, 스택을 EBP 기준으로 확인할 수 있다. (매번 해야한다.)

스택 -> 좌측 주소 선택 -> 마우스 우클릭 -> Address -> Relative eo EBP

 

 

 

어셈블리어 찾기

코드창 클릭 후 Ctrl + S 원하는 어셈블리어 입력 후 Find

찾은 후 여러개가 있는 지 확인 하려면 Ctrl + L

 

문자열 찾기

1. 

코드창에서 오른쪽 마우스 클릭 - Search for - All referenced text strings

마우스 휠 맨 위로 위치하고 Search for text

찾는 문자열 입력 후 OK

더블 클릭하면 주소로 이동한다.

 

 

2.

1번 방법을 통해서 찾지 못했다면 M(메모리) 클릭

마우스 휠 맨 위로 올리고 Search 클릭

원하는 문자열 UNICODE에 입력 후 OK

문자열을 찾으면 새로운 창이 뜬다.

문자열이 있는 주소를 확인하고 메모리창에서 주소 이동을 한다.(Ctrl + G)

해당 주소로 이동하면 문자열이 보인다.

 

 

 

함수 찾기

코드창 오른쪽 클릭 - Search for - All intermodular calls 

찾는 함수를 입력하면 위에 FIND에 입력이 보인다. 

함수를 찾고 더블클릭하면 함수가 위치한 주소로 이동한다.

'레나 튜토리얼' 카테고리의 다른 글

[레나 튜토리얼] - 1  (0) 2022.07.30
Ollydbg 패치  (0) 2022.07.30
32_패킹&언패킹  (0) 2022.07.28
MOV, LEA, ADD, SUB, IMUL, IDIV  (0) 2022.07.28
02_PE 파일 분석(PE 헤더)  (0) 2022.07.26