磁碟机病毒_磁碟机病毒传播途径_艾滋病传播途径有哪些(5)

006564F6B801000000moveax,1

006564FBC20C00retn0C

006564FE6818164000push00401618

00656503C3retn

《加密和解密II》P391处就有详细的注释。

第六章OD和IDA追踪源头的小技巧

006564D8^\E9EBFEFFFFjmp006563C8

006564DD8B854E2A4400moveax,dwordptr[ebp+442A4E]

006564DD8B854E2A4400moveax,dwordptr[ebp+442A4E]

这一句的源头在哪？IDA很直观：

PageUp向上翻页：

什么？OD的CTRL+R键？

难道没招了？minus,即小键盘减号键：

00656001>60pushad

00656002E872050000call00656579

00656007EB4Cjmpshort00656055

00656055BB7C294400movebx,0044297C

0065605A03DDaddebx,ebp

0065605C2B9DAD294400subebx,dwordptr[ebp+4429AD]

0065606283BDE03744000>cmpdwordptr[ebp+4437E0],0

00656069899DE0374400movdwordptr[ebp+4437E0],ebx

0065606F0F8568040000jnz006564DD

这里介绍了OD中追踪源头的两种常用方法。与IDA相比较，感觉还是IDA直观、容易理解。但OD的小巧和快速，则占有使用上的方便。

以后，遇到这个弱壳，快捷的脱壳方法：

OD，CTRL+S：

push0

retn

高手的破文中，这种形式屡见不怪。

第七章OD快捷键的个人心得总结

既然是提高篇，就要对OD的使用高要求了。所以快捷键多了。

自己的OD总结心得：

常用反汇编快捷键：

F2设断点或取消断点。

F3打开新文件

F4运行到当前行。

F5最大化\恢复活动窗口，使多个窗口切换。如不必重复查找字符串，在查找字符串窗口和CPU窗口切换。

F7进入CALL

F8通过CALL

F9运行

F12暂停

ALT+F9返回程序领空。

CTRL+F2重新运行程序

ALT+X程序退出。

*程序执行位置即EIP。或命令行：AT数据。

空格汇编修改(使用NOP填充要打勾)选定目标行或多行ALT+退格键撤消修改（注：选定行可不连续）

冒号：添加标签

分号；加注释

回车键在修改寄存器的值和看十六和十进制的转换经常用到（等同鼠标双击）（信息窗口无效，只能用鼠标右键，鼠标双击也无效）。

查找CTRL+F查找命令同CTRL+L重复上一次查找

CTRL+S查找命令序列

CTRL+B二进制字符串

CTRL+N当前模块中的名称

CTRL+R查找参考-->选定命令即查找指定范围全部参考。{ALT+F7前一参考

CTRL+O分析-->扫描目标文件ALT+F8后一参考

CTRL+G转到地址

频率较高的快捷键：F5、*、ALT+退格键、?表达式---->计算表达式的值及十六和十进制的转换。

RUN跟踪

+下一地址

-上一地址

+和CTRL下一进程

-和CTRL上一进程

CTRL+F11追踪进入等同F7和F8

CTRL+F12

CTRL+T设置条件RUN跟踪

条件断点

SHIFT+F2条件

SHIFT+F4条件记录

特殊操作技巧：

选取多行：鼠标拖动拉下。或SHIFT+鼠标左键点开始和结束位置。

撤消多处修改：选定目标行或多行ALT+退格键撤消修改（注：选定行的修改可散在分布，但必须全部用鼠标选取在内）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-32335-5.html