磁碟机病毒_磁碟机病毒传播途径_艾滋病传播途径有哪些(6)

窗口切换：窗口里选择或窗口选层叠+F5结合鼠标选点。窗口选层叠第一次设置就行，只要不改，以后就不需要操作了。

十进制和十六进制转换：鼠标右键选修改或命令行？表达式OR数据

返回程序领空：

1。ALT+F9。

2。磁碟机病毒传播途径或者点击菜单查看->内存，或者点击工具栏上那个“M”按钮（也可以按组合键ALT+M），选CODE按F2，运行。

3。查找标签或注释：查找->用户定义的标签或注释。

4。在堆栈中的第一行“选反汇编中跟踪”就可以返回到上一层的调用这里的地方。

出现一个对话框必然是程序调用一个子程序来完成，在汇编状态下也就是必须要调用一个“CALL”来完成程序的调用，当程序出现错误对话框时，此时用OD的暂停键，会暂停在调用这个子程序代码里面，但在汇编代码里面这个完成绘制对话框的CALL里面也会调用很多的CALL，而且会一层一层地调用，最终还会调用系统，这一点可以暂停后我们会在堆栈中发现。那怎么才能一步步从最后面的一层一层的CALL慢慢返回到我们要找的最原始的调用子程序的CALL呢？这个是关键，如果找到了，这个CALL所在的段也就是最关键的了，能跳过它的跳转也是最关键的跳转了。这一点并不难。

我们再来说一下CALL的调用，调用一个子程序的时候：1、向堆栈中压入下一行程序的地址；2.JMP到call的子程序地址处

关键是1、在堆栈中压入了下一行程序的地址，其目的是为了调用子程序结束后返回用的，如果走到一个CALL的时候我们F7一次跟进后会停在所调用的子程序的开头第一个代码处，这时看堆栈的第一行压入了调用时的下一行地址。这个也是我们要利用的：我们只要在程序某段的开头第一行代码下断（下面也行，这样可以避免不必要的干扰）中断后在堆栈中的第一行“选反汇编中跟踪”就可以返回到上一层的调用这里的地方了，回到上一层后，如果发现关键段不是这段，再在此段的开头第一行下断，向上找。这样可以一层一层向上找，直到找到最初的调用的CALL，这里就是关键段了！

当然暂停后用AIT+K也可以看的到（但觉得有时不能准确定位）。

5。显示内存数据：数据窗口CTRL+G输入内存数据或右键操作。命令行：D内存数据。

6。tracingtips

大凡找到字符串后就开始trace了，包括f8,f7。如果需要跟踪的代码很长或者不熟悉跟踪的技巧，就会花费很多的时间。这时，可以使用ctl+f8，这是olly的animate功能，将程序预演一次，然后可以f12,再alt+f9，将程序交给用户。比如说，在可疑的代码处设置breakpoint,然后clt+f8，让程序预演，再在认为可能是关键的地方f12,这样就可以对需要trace代码有一个大概的影响，并且可以帮助修正不必要的bp。这种方法是不是根高效呢？

7。searchingtips

olly默认只在code段搜索字符串，所以，要想找到藏得更深的字符串，就要动脑子了。工具条上的那个m按钮是用来查看module的。点它，然后clt+b，就可以搜索code段以外的ascii,unicode,binary字符串了。

找到了字符串就要好好利用，记下它的地址，再再commandbar里输入

dtargetaddress，就可以看到了，然后在字符串上点右键，选searchforreference，就可以看到有哪些指令在调用这个字符串了。也可以用setbreakpointoneachreference.这样迅速跟踪到相关的指令。

8。tailingstrings

thiswon'tcauseothernags)。采用相同的方法，可以修改字符串，直到自己满意为止。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-32335-6.html