OllyDbg 정리
64비트 OllyDbg 다운로드 받는 법 : http://www.reversecore.com/107?category=466322
Instruction : IA32 CPU 명령어
Disassembled code : OP code를 보기 쉽게 어셈블리로 변환한 코드
comment : 디버거에서 추가한 주석
기본 명령어
Restart - [Ctrl + F2] - 다시 처음부터 디버깅 시작
Step Into - [F7] - 하나의 OP code 실행(CALL 명령을 만나면, 그 함수 코드 내부로 들어감)
Step Over - [F8] - 하나의 OP code 실행(CALL 명령을 만나면, 따라 들어가지 않고 그냥 함수 자체를 실행)
Execute till Return - [Ctrl + F9] - 함수 코드 내에서 RETN 명령어까지 실행(함수 탈출 목적)
디버거 동작 명령(Code Window에서 동작함)
Go to - [Ctrl + G] - 원하는 주소로 이동(코드/메모리를 확인할 때 사용. 실행되는 것은 아님)
Execute till Cursor - [F4] - cursor 위치까지 실행(디버깅하고 싶은 주소까지 바로 갈 수 있음)
Comment - [ ; ] - Comment 추가
User-defined comment - 마우스 우측 메뉴 Search for User-defined comment
Label - [ : ] - Label 추가
User-defined label - 마우스 우측 메뉴 Search for User-defined label
Set/Reset BreakPoint - [F2] - BP 설정/해제
Run - [F9] - 실행(BP가 걸려있으면 그곳에서 실행이 정지됨)
Show the current EIP - [ * ] - 현재 EIP 위치를 보여줌
Show the previous Cursor - [ - ] - 직전 커서 위치를 다시 보여줌
Preview CALL/JMP address - [Enter] - 커서가 CALL/JMP 등의 명령어에 위치해 있다면, 해당 주소를 따라가서 보여줌 (실행되는 것이 아님. 간단히 함수 내용을 확인할 때 유용함)
Assembly 기초 명령어
CALL XXXX - XXXX 주소의 함수를 호출
JMP XXXX - XXXX 주소로 점프
PUSH XXXX - 스택에 XXXX 저장
RETN - 스택에 저장된 복귀 주소로 점프
Assembly 기초 명령어
CALL XXXX - XXXX 주소의 함수를 호출
JMP XXXX - XXXX 주소로 점프
PUSH XXXX - 스택에 XXXX 저장
RETN - 스택에 저장된 복귀 주소로 점프
댓글
댓글 쓰기