当前位置: 开发笔记 > 后端 > 正文

X86逆向教程15：OD脚本的编写技巧

作者：mobiledu2502929547 | 来源：互联网 | 2023-07-17 01:36

本章节我们将学习OD脚本的使用与编写技巧，脚本有啥用呢？脚本的用处非常的大，比如我们要对按钮事件进行批量下断点，此时使用自动化脚本将大大减小我们的工作量，再比如有些比较简单的压缩壳需要脱壳，此时我们也

本章节我们将学习OD脚本的使用与编写技巧，脚本有啥用呢？脚本的用处非常的大，比如我们要对按钮事件进行批量下断点，此时使用自动化脚本将大大减小我们的工作量，再比如有些比较简单的压缩壳需要脱壳，此时我们也可以写出属于自己的脱壳脚本，以后遇到了对应的壳就可以使用对应脚本快速的搞定，好了废话不多说，开始进入今天的正题吧。

------------------------------------------------------------
本章难度：★☆☆☆☆☆☆☆☆☆
课程课件：CM_15.zip
------------------------------------------------------------

Delphi/BC++ 批量下断脚本

脚本代码，保存为 Delphi.osc

var Addr                      // 局部变量
mov Addr,401000               // 指定地址为401000

loop:
	find Addr,#740E8BD38B83????????FF93????????#     // 查找特征码，并将地址放入RESULT(00401000)
	cmp $RESULT,0                                    // 如果为0则直接跳出循环
	je Exit
	add $RESULT,0A                                   // 相加 (00401000+0A=0040100A)
	bp $RESULT                                       // 下断
	add $RESULT,1                                    // 每次递增1
	mov Addr,$RESULT                                 // 将地址赋给Addr
jmp loop
Exit:
ret

1.OD直接载入CM课件中的【Project1.exe】这是一个Delphi写的测试程序，此时我们运行这个程序，会看到有三个按钮。

2.回到OD反汇编窗口，点击【右键】，运行脚本打开，选择我们上方保存下来的脚本文件。

3.选择好脚本以后，我们点击重新载入程序，然后按下【Alt +B】会看到所有的断点已经下好了，这个程序很小所以就这么几个。

4.运行程序点击，弹窗按钮，程序会断下，直接【F7】进入CALL的内部就能看到按钮的核心代码了。

VB6.0 批量下断脚本

脚本代码，保存为 VB6.osc

var Addr
mov Addr,401000

loop:
	find Addr,#816C2404??000000#
	cmp $RESULT,0
	je Exit
	add $RESULT,08
	bp $RESULT
	add $RESULT,1
	mov Addr,$RESULT
jmp loop
Exit:

1.OD直接载入CM课件中的【VB6.exe】这是一个VB写的测试程序，我们运行这个程序。

2.回到OD反汇编窗口，点击【右键】，运行脚本打开，选择我们上方保存下来的脚本文件。

3.选择好脚本以后，我们点击重新载入程序，然后按下【Alt +B】会看到所有的断点已经下好了，这个程序很小所以就这么几个。

4.运行程序点击，弹窗按钮，程序会断下，直接【F8】进入CALL的内部就能看到按钮的核心代码了。

易语言批量下断脚本

脚本代码，保存为易语言.osc

var Addr
mov Addr,401000

loop:
	find Addr,#FF55FC5F5E#
	cmp $RESULT,0
	je Exit
	bp $RESULT
	add $RESULT,1
	mov Addr,$RESULT
jmp loop
Exit:
ret

1.OD直接载入CM课件中的【易语言.exe】这是一个易语言写的测试程序，我们运行这个程序。

2.回到OD反汇编窗口，点击【右键】，运行脚本打开，选择我们上方保存下来的脚本文件。

3.选择好脚本以后，我们点击重新载入程序，然后按下【Alt +B】会看到所有的断点已经下好了，这个程序很小所以就这么几个。

4.运行程序点击，弹窗按钮，程序会断下，直接【F7】进入CALL的内部就能看到按钮的核心代码了。

VC++6.0/MFC 手动下断点

VC6的特征比较特殊，这里我们只能手动下断了

1.OD直接载入CM课件中的【VC++.exe】这是一个易语言写的测试程序，我们运行这个程序。

2.按下【Ctrl +F】按钮，输入命令【sub eax,0a】，会搜索到如下代码，我们选中【sub eax,0a】的下面一条指令处回车。

3.程序会跳转到如下位置，我们在跳转后的【00416043】处下断点，VC6只有这一处。

4.回到程序，我们点击【注册按钮】然后程序会断在CALL的位置上，我们直接【F7】进入到CALL的内部，然后在按下两次【F8】

最后就是VC++的按钮事件核心代码。

编写自动脱壳脚本

推荐阅读

http
如何在Windows环境下配置php+apache环境

本文介绍了在Windows环境下如何配置php+apache环境，包括下载php7和apache2.4、安装vc2015运行时环境、启动php7和apache2.4等步骤。希望对需要搭建php7环境的读者有一定的参考价值。摘要长度为169字。 ... [详细]

蜡笔小新 2023-12-13 10:39:24
http
YOLOv7基于自己的数据集从零构建模型完整训练、推理计算超详细教程

本文介绍了关于人工智能、神经网络和深度学习的知识点，并提供了YOLOv7基于自己的数据集从零构建模型完整训练、推理计算的详细教程。文章还提到了郑州最低生活保障的话题。对于从事目标检测任务的人来说，YOLO是一个熟悉的模型。文章还提到了yolov4和yolov6的相关内容，以及选择模型的优化思路。 ... [详细]

蜡笔小新 2023-12-14 18:28:01
http
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
http
搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的详细步骤

本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的步骤，包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ... [详细]

蜡笔小新 2023-12-14 17:03:58
http
phpBB安装环境配置及如何搭建php环境

本文介绍了关于apache、phpmyadmin、mysql、php、emacs、path等知识点，以及如何搭建php环境。文章提供了详细的安装步骤和所需软件列表，希望能帮助读者解决与LAMP相关的技术问题。 ... [详细]

蜡笔小新 2023-12-13 13:33:01
java
java命令运行

Java在运行已编译完成的类时，是通过java虚拟机来装载和执行的，java虚拟机通过操作系统命令JAVA_HOMEbinjava–option来启 ... [详细]

蜡笔小新 2023-12-12 19:26:55
ci
Kotlin中扩展函数的惯用用法及其合理性

本文讨论了Kotlin中扩展函数的一些惯用用法以及其合理性。作者认为在某些情况下，定义扩展函数没有意义，但官方的编码约定支持这种方式。文章还介绍了在类之外定义扩展函数的具体用法，并讨论了避免使用扩展函数的边缘情况。作者提出了对于扩展函数的合理性的质疑，并给出了自己的反驳。最后，文章强调了在编写Kotlin代码时可以自由地使用扩展函数的重要性。 ... [详细]

蜡笔小新 2023-12-12 19:17:21
java
手机移动端HTML5和JavaScript如何实现视频上传和压缩视频质量？

本文讨论了在手机移动端如何使用HTML5和JavaScript实现视频上传并压缩视频质量，或者降低手机摄像头拍摄质量的问题。作者指出HTML5和JavaScript无法直接压缩视频，只能通过将视频传送到服务器端由后端进行压缩。对于控制相机拍摄质量，只有使用JAVA编写Android客户端才能实现压缩。此外，作者还解释了在交作业时使用zip格式压缩包导致CSS文件和图片音乐丢失的原因，并提供了解决方法。最后，作者还介绍了一个用于处理图片的类，可以实现图片剪裁处理和生成缩略图的功能。 ... [详细]

蜡笔小新 2023-12-12 15:58:44
java
第四章高阶函数（参数传递、高阶函数、lambda表达式）（python进阶）的讲解和应用

本文主要讲解了第四章高阶函数（参数传递、高阶函数、lambda表达式）的相关知识，包括函数参数传递机制和赋值机制、引用传递的概念和应用、默认参数的定义和使用等内容。同时介绍了高阶函数和lambda表达式的概念，并给出了一些实例代码进行演示。对于想要进一步提升python编程能力的读者来说，本文将是一个不错的学习资料。 ... [详细]

蜡笔小新 2023-12-12 15:52:48
ci
Windows7 64位系统安装PLSQL Developer的步骤和注意事项

本文介绍了在Windows7 64位系统上安装PLSQL Developer的步骤和注意事项。首先下载并安装PLSQL Developer，注意不要安装在默认目录下。然后下载Windows 32位的oracle instant client，并解压到指定路径。最后，按照自己的喜好对解压后的文件进行命名和压缩。 ... [详细]

蜡笔小新 2023-12-12 13:32:08
transform
突破MIUI14限制，自定义胶囊图标、大图标样式，支持任意APP

本文介绍了如何突破MIUI14的限制，实现自定义胶囊图标和大图标样式，并支持任意APP。需要一定的动手能力和主题设计师账号权限或者会主题pojie。详细步骤包括应用包名获取、素材制作和封包获取等。 ... [详细]

蜡笔小新 2023-12-12 12:07:16
java
Java程序设计第4周学习总结及注释应用的开发笔记

本文由编程笔记#小编为大家整理，主要介绍了201521123087《Java程序设计》第4周学习总结相关的知识，包括注释的应用和使用类的注释与方法的注释进行注释的方法，并在Eclipse中查看。摘要内容大约为150字，提供了一定的参考价值。 ... [详细]

蜡笔小新 2023-12-11 21:21:22
http
使用集算器将日志文件结构化，轻松使用SQL查询

本文介绍了一种轻巧方便的工具——集算器，通过使用集算器可以将文本日志变成结构化数据，然后可以使用SQL式查询。集算器利用集算语言的优点，将日志内容结构化为数据表结构，SPL支持直接对结构化的文件进行SQL查询，不再需要安装配置第三方数据库软件。本文还详细介绍了具体的实施过程。 ... [详细]

蜡笔小新 2023-12-11 13:27:46
ftp
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
http
Activiti7流程定义开发笔记

本文介绍了Activiti7流程定义的开发笔记，包括流程定义的概念、使用activiti-explorer和activiti-eclipse-designer进行建模的方式，以及生成流程图的方法。还介绍了流程定义部署的概念和步骤，包括将bpmn和png文件添加部署到activiti数据库中的方法，以及使用ZIP包进行部署的方式。同时还提到了activiti.cfg.xml文件的作用。 ... [详细]

蜡笔小新 2023-12-10 19:22:56