OllyDbg
- 프로그램을 분석할때 사용하는 디버거이다.
- 올리디버거로 실행 파일을 오픈하면 Address of Entry Point(프로그램 코드 시작)에서 시작한다.
- 선수 지식 : 어셈블리어, PE 파일 구조, DLL 기본 개념, 메모리 주소 관련
F8 코드 한줄 실행
F4 마우스로 선택한 주소까지 이동
F9 코드 전체 실행
Ctrl+F2 프로그램 재실행
F2 브레이크 포인트 지정 (한번더 누르면 해지)
F7 함수 내부 진입
Ctrl+g 주소 이동(코드 윈도우, 메모리 윈도우 각각 사용 가능)
* 현재 위치로 이동(즉, EIP에 저장된 주소로 이동함)
- 코드 영역에서 스페이스 or 마우스 더블클릭을 실시하면 코드를 변경할 수 있다.
- 다음과 같이 설정하면, 스택을 EBP 기준으로 확인할 수 있다. (매번 해야한다.)
스택 -> 좌측 주소 선택 -> 마우스 우클릭 -> Address -> Relative eo EBP
어셈블리어 찾기
코드창 클릭 후 Ctrl + S 원하는 어셈블리어 입력 후 Find
찾은 후 여러개가 있는 지 확인 하려면 Ctrl + L
문자열 찾기
1.
코드창에서 오른쪽 마우스 클릭 - Search for - All referenced text strings
마우스 휠 맨 위로 위치하고 Search for text
찾는 문자열 입력 후 OK
더블 클릭하면 주소로 이동한다.
2.
1번 방법을 통해서 찾지 못했다면 M(메모리) 클릭
마우스 휠 맨 위로 올리고 Search 클릭
원하는 문자열 UNICODE에 입력 후 OK
문자열을 찾으면 새로운 창이 뜬다.
문자열이 있는 주소를 확인하고 메모리창에서 주소 이동을 한다.(Ctrl + G)
해당 주소로 이동하면 문자열이 보인다.
함수 찾기
코드창 오른쪽 클릭 - Search for - All intermodular calls
찾는 함수를 입력하면 위에 FIND에 입력이 보인다.
함수를 찾고 더블클릭하면 함수가 위치한 주소로 이동한다.
'레나 튜토리얼' 카테고리의 다른 글
[레나 튜토리얼] - 1 (0) | 2022.07.30 |
---|---|
Ollydbg 패치 (0) | 2022.07.30 |
32_패킹&언패킹 (0) | 2022.07.28 |
MOV, LEA, ADD, SUB, IMUL, IDIV (0) | 2022.07.28 |
02_PE 파일 분석(PE 헤더) (0) | 2022.07.26 |