od如何设置硬件断点_od api断点

1.求助OD汇编语法的问题

2.OD找到了程序入口点，怎么脱壳啊？

3.如何给程序脱壳

4.ASPack/ASProtect 加壳器是这个东西，如何解密

5.谁会用ollydbg调试天正。正确答案给300分

0x80000004 EXCEPTION_SINGLE_STEP 处理：

1、R0钩挂PsGetContextThreadPsSetContextThread允许目标进程获取及写入硬件断点值

2、OD加载尝试忽略/忽略硬件断点

3、检查System进程否其线程读取目标进程某些线程TCB部CONTEXT

4、没

求助OD汇编语法的问题

手脱nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping 工具：PEiD OD 脱壳方法：ESP定律脱壳 我要脱的是隐秘网安的记事本 使用PEiD先查壳NsPack V2.X -> LiuXingPing * guying * 不是真正的壳，深度查 nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping是这个可 我们用OD载入 00653574 > 9C PUSHFD 00653575 60 PUSHAD 00653576 E8 00000000 CALL 多功能记.0065357B 到了这里 .....F8 单步 俩次 看右边 ESP 0012FFA0 我们使用硬件断点命令 hr 0012FFA0 回车 下来F9 运行 006537F7 61 POPAD 006537F8 9D POPFD 006537F9 - E9 DE3AECFF JMP 多功能记.005172DC 到了这里，可以看到 006537F9 - E9 DE3AECFF JMP 多功能记.005172DC这是入口点 我们单步F8 到这里看看 入口直接大跳到了下边 005172DC 55 DB 55 ; CHAR 'U' 005172DD 8B DB 8B 005172DE EC DB EC 证明我们的硬件断点正确...好了下来脱壳 使用OD 脱壳调试进程 脱壳 保存 嘎嘎！卡了一下。UP.EXE就是脱好的，查壳看看 Borland Delphi 6.0 - 7.0脱掉了 看看能运行不！！OK 正常.... 看看他原本的 一样，脱壳成功..... 好了！在说一下如果脱壳不能运行 使用工具 工具loadpe ，ImportREC进行修复

记得纳啊

OD找到了程序入口点，怎么脱壳啊？

CALC

判断表达式WATCH

添加监视表达式AT / FOLLOW

Disassemble at address

在地址进行反汇编ORIG

Disassemble at EIP

反汇编于 EIPDUMP

Dump at address

在地址转存DA

Dump as disassembly

转存为反汇编代码DB

Dump in hex byte format

转存在十六进制字节格式DC

Dump in ASCII format

转存在 ASCII 格式DD

Dump in stack format

转存在堆栈格式DU

Dump in UNICODE format

转存在 UNICODE 格式DW

Dump in hex word format

转存在十六进制字词格式STK

Go to address in stack

前往堆栈中的地址AS + 地址 + 字符串

Assemble at address

在地址进行汇编L + 地址 + 字符串

Label at address

在地址进行标号C + 地址 + 字符串

Comment at address

在地址进行注释BP

Break with condition

使用条件中断BPX

Break on all calls

中断在全部调用BPD

Delete break on all calls

清除位于全部调用的断点BC

Delete breakpoint

清除断点MR

Memory breakpt on access

内存断点于访问时MW

Memory breakpt on write

内存断点于写入时MD

Remove memory breakpoint

清除内存断点HR

HW break on access

硬件中断在访问HW

HW break on write

硬件中断在写入HE

HW break on execution

硬件中断在执行HD

Remove HW breakpoint

清除硬件断点STOP

停止运行程序调试PAUSE

暂停程序调试RUN

Run program

运行程序进行调试Run till address

运行到地址GE

Run and pass exception

运行和通过例外SI

Step into

步入

SO

Step over

步过TI

Trace in till address

跟踪进入直到地址TO

Trace over till address

跟踪步过直到地址TC

Trace in till condition

跟踪进入直到条件TOC

Trace over till condition

跟踪步过直到条件TR

Till return

直到返回TU

Till user code

直到用户代码LOG

View Log window

查看记录窗口MOD

View Modules window

查看模块窗口MEM

View Memory window

查看内存窗口CPU

View CPU window

查看 CPU 窗口CS

View Call Stack

查看 Call 堆栈BRK

View Breakpoints window

查看断点窗口OPT

Open Options

打开选项EXIT / QUIT

Quit OllyDbg

退出 OllyDbgOPEN

Open executable file

打开可执行文件CLOSE

Close executable

关闭程序RST

Restart current program

恢复当前程序HELP

Help on API function

API 函数的帮助ASM

Assemble (if command needs it's own addres, \"ASM COMMAND;ADDRESS\")

汇编 (如果命令需要自身的地址 \"ASM COMMAND;ADDRESS\")DASM

Disassemble immediate opcode

反汇编直接的机器码FR

Find reference to selected command/address

查找参考到选定的命令/地址AC

Analyse code

分析代码SN

Search for Name(label) in current module

在当前模块中搜索名称(标号)SOB

Scan object files

扫描项目文件

如何给程序脱壳

常见脱壳知识：1.PUSHAD （压栈） 代表程序的入口点

2.POPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近拉！

3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了的OEP），

只要我们找到程序真正的OEP，就可以立刻脱壳。

开始正式介绍方法啦！！

方法一：

1.用OD载入，不分析代码！

2.单步向下跟踪F8，是向下跳的让它实现

3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——运行到所选）

4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！

5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，这样很快就能到程序的OEP

6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入

7.一般有很大的跳转，比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就会到程序的OEP。

方法二：

ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）

1.开始就点F8，注意观察OD右上角的寄存器中ESP有没出现。

2.在命令行下：dd 0012FFA4(指在当前代码中的ESP地址)，按回车！

3.选种下断的地址，下硬件访问WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP，脱壳

方法三：

内存跟踪：

1：用OD打开软件！

2：点击选项——调试选项——异常，把里面的忽略全部√上！CTRL+F2重载下程序！

3：按ALT+M,DA 打开内存镜象，找到第一个.rsrc.按F2下断点，

然后按SHIFT+F9运行到断点，接着再按ALT+M,DA 打开内存镜象，找到.RSRC上面的CODE，按

F2下断点！然后按SHIFT+F9，直接到达程序OEP，脱壳！

方法四：

一步到达OEP（前辈们总结的经验）

1.开始按Ctrl+F,输入：popad（只适合少数壳，包括ASPACK壳），然后按下F2，F9运行到此处

2.来到大跳转处，点下F8，脱壳之！

方法五：

1：用OD打开软件！

2：点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序！

3：一开是程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按F9到程序

运行的次数！

4：CTRL+F2重载程序，按SHIFT+F9（次数为程序运行的次数-1次

5：在OD的右下角我们看见有一个SE 句柄，这时我们按CTRL+G，输入SE 句柄前的地址！

6：按F2下断点！然后按SHIFT+F9来到断点处！

7：去掉断点，按F8慢慢向下走！

8：到达程序的OEP，脱壳

ASPack/ASProtect 加壳器是这个东西，如何解密

你这个问题太过于笼统，其实破解中的脱壳是一个非常复杂的过程，有些壳很容易脱掉，在网上也可以找到相应的脱壳机，有些复杂的壳就需要手动脱壳，我觉得脱壳也可以成为一门复杂的学科，毕竟要破解就要学会脱壳，以前我也曾经看过很多关于脱壳的文章和但是由于编程技术不是很好所以总是似是而非，有一日看到一个，终于有了一个脱壳的思路，留下你的邮箱我可以给发过去，或者你加我的号码240410420 ,这个的文字教程如下：

脱壳多种方法总结篇

一.脱壳基础知识要点

1.PUSHAD :（压栈） 代表程序的入口点

2.POPAD :（出栈） 代表程序的出口点，与PUSHAD想对应.看到这个,就说明快到OEP了.

3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP.

二.脱壳调试过程中辨认快到OEP的简单方法

下面二个条件是快到OEP的共同现象:

若出现下面情况时,说明OEP就要到了:

1. OD跟踪过程中如果发现:

popad

popfd

或

popad

2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.

说明OEP马上到了.

三.脱壳必需牢记的要领

1.单步往前走,不要让程序向上走,遇到向上跳时,在下一句按F4,运行到所选.

2.刚载入程序,在附近就call时,我们按F7跟进去.

3.若跟踪时,运行某个call程序就运行时,这个call也用F7进入.

4.在跟踪时,出现比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN同时发生大跨段跳转时,说明很快就到OEP了.

四.常用脱壳方法总结

------------------

方法一:单步跟踪法

------------------

介绍:这是最通用的方法,对于未知壳,基本都用这种方法,这种方法过程比较麻烦,要一步一步的跟踪分析,要有一定的耐心.

1.用OD载入,选"不分析代码"

2.单步向下跟踪按F8，实现向下的跳.不让程序往回跳.

3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

4.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易运行.

5.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入.

6.一般遇到很大的跳转（跨段跳），比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。

-----------------

方法二:ESP定律法（ESP与EIP都为红色）

-----------------

介绍: 这种方法可以脱大部的压缩壳和少数加密壳,操作起来比较简单,脱壳速度也相对比较快.

1.开始就点F8向下走，注意观察OD右上角的寄存器中ESP有没突现（变成红色）

2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者hr

XXXXXXXX)，按回车！

3.选中下断的地址，断点--->硬件访--->WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8向下走，就到达程序OEP。

-----------------

方法三:内存镜像法

-----------------

介绍:也是一种比较好用的脱壳方法,大部分的压缩壳和加密壳用内存镜像法能快速脱掉.非常实用.

1.用OD打开,设置选项——调试选项——异常,忽略所有异常(也就是把里面的忽略全部√上),然后CTRL+F2重载下程序！

2.按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点.

3.接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE，按F2下断点！然后按SHIFT+F9，直接到达程序OEP！

另外：加入内存模块中看到多个PE代码就从第一个PE下面的代码下断点，shift+F9，单步进行，看到INC 的地址，查找到这个地址一般就为程序入口，可能会因为有多个PE所以没有解密，单步进行知道程序返回到这个入口，然后脱壳

----------------

方法四:一步到OEP

----------------

介绍:这是一种巧方法,脱壳速度最快,前提是要知道这个壳的特征,利用这种壳的共性快速找到程序的OEP.这种方法只用于少数壳.

1.开始按Ctrl+F,输入：popad,然后按下F2下断，按F9运行到此处.

2.很快来到大跳转,按F8向下走,来到OEP.

----------------

方法五:利用内存异常（选项--异常，中下面勾都去掉）

----------------

shift+F9 几次 运行后记住运行了几次后打开的软件

重新导入，shift+F9 运行比刚才少一次，观察od右下角SE异常，记下前面地址，ctrl+G，输入这个地址

F2下断点，shift+F9运行到此处，取消断点然后单步F7跟踪到oep入口处，LE修改大小然后转存，然后用ImportRE修改OEP，然后将刚才转存的文件输入即可。

谁会用ollydbg调试天正。正确答案给300分

1。用OD载入

2。一般载入后第二条命令就是call，单步F8

3。记下ESP数据，用命令：dd XXXXXXXX(就记下的数据），

4。在数据窗中，右击查到的数据，先加断点为硬件，word

5.F9运行

6。F8单步

7。删除硬件断点。

8。右键脱壳

结束战斗！

要找我脱的话QQ：117502672，50RMB

OllyDbg教程2007-10-16 12:57(以下内容全部来自网络)

预备知识

大多数壳都有一个共同的特点。在壳准备开始解压时都要执行PUSHAD，当壳解压

完时都要调用POPAD。到底PUSHAD和POPAD是什么干什么用的呢？其实PUSHAD是用来将

所有普通寄存器顺序进栈的指令，POPAD是所有普通寄存器顺序出栈指令。POPAD的出

栈顺序和PUSHAD相反。壳为了保护寄存器，便在解压前将所有寄存器进栈保护起来，

当解压完成后又将寄存器出栈，恢复其原貌，并将IP设置为原程序的OEP。这样我们就

可以通过这个特点快速脱掉多种软件的壳。

32位程序级的调试器－－ollyDbg,这个东东操作简便，提示信息量大，介绍一些简单的操作

快捷键：

F3，装入程序

F8，单步执行，不进入call

F9 (运行)

F7,单步执行，进入call

CTRL+F9,相当于trw2000的F12

ALT+F9,相关于trw2000的pmodule

F2,设置断点（相当于trw2000的F9）

CTRL+N(当前模块中的名称)

F12(暂定)

CTRL+F12(重新运行)

CTRL+F11(跟踪进入)

CTRL+T(设置条件)

CTRL+F7(自动步入)

CTRL+F8(自动步过)

CTRL+F9(执行到返回)

另转的快捷键使用方法如下

OllyDbg 常用快捷热键

聆风听雨整理

===============================================================

打开一个新的可执行程序 (F3)

重新运行当前调试的程序 (Ctrl+F2)

当前调试的程序 (Alt+F2)

运行选定的程序进行调试 (F9)

暂时停止被调试程序的执行 (F12)

单步进入被调试程序的 Call 中 (F7)

步过被调试程序的 Call (F8)

跟入被调试程序的 Call 中 (Ctrl+F11)

跟踪时跳过被调试程序的 Call (Ctrl+F12)

执行直到返回 (Ctrl+F9)

显示记录窗口 (Alt+L)

显示模块窗口 (Alt+E)

显示内存窗口 (Alt+M)

显示 CPU 窗口 (Alt+C)

显示补丁窗口 (Ctrl+P)

显示呼叫堆栈 (Alt+K)

显示断点窗口 (Alt+B)

打开调试选项窗口 (Alt+O)

窗口：

左上：代码区

左下：内存数据

右上：寄存器

右下：stack区

以下命令适用于 OllyDbg 的快捷命令栏插件（显示于程序的状态栏上方）

========================================================

CALC

判断表达式

WATCH

添加监视表达式

AT / FOLLOW

Disassemble at address

在地址进行反汇编

orIG

Disassemble at EIP

反汇编于 EIP

DUMP

Dump at address

在地址转存

DA

Dump as disassembly

转存为反汇编代码

DB

Dump in hex byte format

转存在十六进制字节格式

DC

Dump in ASCII format

转存在 ASCII 格式

DD

Dump in stack format

转存在堆栈格式

DU

Dump in UNICODE format

转存在 UNICODE 格式

DW

Dump in hex word format

转存在十六进制字词格式

STK

Go to address in stack

前往堆栈中的地址

AS + 地址 + 字符串

Assemble at address

在地址进行汇编

L + 地址 + 字符串

Label at address

在地址进行标号

C + 地址 + 字符串

Comment at address

在地址进行注释

BP

Break with condition

使用条件中断

BPX

Break on all calls

中断在全部调用

BPD

Delete break on all calls

清除位于全部调用的断点

BC

Delete breakpoint

清除断点

MR

Memory breakpt on access

内存断点于访问时

MW

Memory breakpt on write

内存断点于写入时

MD

Remove memory breakpoint

清除内存断点

HR

HW break on access

硬件中断在访问

HW

HW break on write

硬件中断在写入

HE

HW break on execution

硬件中断在执行

HD

Remove HW breakpoint

清除硬件断点

STOP

Pause execution

暂停执行

PAUSE

PAUSE

RUN

Run program

运行程序

Run till address

运行到地址

GE

Run and pass exception

运行和通过例外

SI

Step into

步入

SO

Step over

步过

TI

Trace in till address

跟踪进入直到地址

TO

Trace over till address

跟踪步过直到地址

TC

Trace in till condition

跟踪进入直到条件

TOC

Trace over till condition

跟踪步过直到条件

TR

Till return

直到返回

TU

Till user code

直到用户代码

LOG

View Log window

查看记录窗口

MOD

View Modules window

查看模块窗口

MEM

View Memory window

查看内存窗口

CPU

View CPU window

查看 CPU 窗口

CS

View Call Stack

查看 Call 堆栈

BRK

View Breakpoints window

查看断点窗口

OPT

Open Options

打开选项

EXIT / QUIT

Quit OllyDbg

退出 OllyDbg

OPEN

Open executable file

打开可执行文件

CLOSE

Close executable

关闭程序

RST

Restart current program

恢复当前程序

HELP

Help on API function

API 函数的帮助

ASM

Assemble (if command needs it's own addres, \"ASM COMMAND;ADDRESS\")

汇编 (如果命令需要自身的地址 \"ASM COMMAND;ADDRESS\")

DASM

Disassemble immediate opcode

反汇编直接的机器码

FR

Find reference to selected command/address

查找参考到选定的命令/地址

AC

Analyse code

分析代码

SN

Search for Name(label) in current module

在当前模块中搜索名称(标号)

SOB

Scan object files

扫描项目文件

Name: ollydbg 命令行帮助文件.rar Size: 6071 B

此文件的引用地址为：up/1141912360.rar

Name: OllyDbg-script v1.081命令中文解说.rar Size: 219473 B

此文件的引用地址为：up/1141912390.rar

Ollydbg 中断方法

Quote:

originally posted by dong at 2004-6-1 10:29 PM:

我问个问题

在od中怎么下断点呢?

现在有的程序一点注册就没反映了

这样的怎么下断点呢?

能介绍下什么情况下什么断点吗?

在转存中下硬件访问－>Word"断点，下断之后，怎么取消！

9398944(老菜鸟) 11:09:59

alt+D 按H 然后删除

这个没有万能的方法，只能视具体情况而定，就我的经验而言：

第一步，反汇编找有用信息，有时候虽然点击注册按钮后，没有任何反映，但软件也许包含了可用的信息，比如“未注册”，“已注册”等等之类的，都可用做断点的。

第二步，如果反汇编也找不到有用信息，如果用OD可以下HMEMECPY断点，在每个调用的函数上下断，虽然这个法子太笨，但我试过，几乎有70%以上的机会可找到断点，找到断点后再慢慢跟吧!这只是个人的看法，关键只要找到断点，有什么办法都无所谓。

在命令行下bpx hmemcpy断点，然后回车，在每个调用的函数上下断。

有的程序甚至无法用API中断，可以在OD载入程序后上下翻动反汇编窗口查看字符串参考下断，在反汇编窗口里直接找到的，右键查找那里找不到

转发Ollydbg 中断方法浅探-各种断点常识知识

Ollydbg 中断方法浅探

――国庆节小礼

Ollydbg是一个新的32位的汇编层调试软件。适应于windows98、me、2000、xp和2003操作系统。由于他具有图形窗口界面，所以操作方便、直观，是cracker的好工具。

由于Ollydbg没有了TRW2000的万能断点，所以许多的新手感觉到用Ollydbg断点不好找。现在我来的说说Ollydbg下中断的几种方法。本人是个菜鸟，水平有限，可能不能完整的写出来，也可能存在错误。请大家指正。

我所表述的是Ollydbg v1.09d中文版，其他版本和英文版下自己参考。

第一 寻常断点

Ollydbg中一般下中断的方法，就是在程序的地址处用鼠标选择这一行。然后按F2键，这时被选择的那一行的地址会变成别的颜色，就表示这个地址处下了中断。然后运行程序时只有到这个地址处就会被Ollydbg中断。

这个方法用的比较多，所以把他称作寻常断点。

如果有命令行插件，就可以在命令窗口中输入BPX xxxxxxxx 下断点。

优点：只要自己怀疑是重要的代码处都可以下这种下断点，不受条件的限制，所以方便实用。

缺点：如果不知道代码功能下断点具有盲目性。

第二 API断点

Ollydbg中一般下API中断的方法，有二种。

1. 在代码窗口中点鼠标右键，出现功能菜单。在[搜索]选择项下有〔当前模块的名称〕和〔全部模块的名称〕俩项，选择其中的一项就打开了程序调用API的窗口，在这个窗口中选择你要跟踪的API函数名。双击这个函数就能到程序的调用地址处。然后用F2下中断。也可以在API窗口中选择需要跟踪的函数点鼠标右键出现功能菜单，选择〔在每个参考设置断点〕。同样下了断点。

快捷方式：Ctrl+N

2. 在命令行窗口中输入BPX API函数名或者BP API函数名 后回车。这时出现了所有调用这个函数的地址的窗口，在这个窗口中可以看到调用这个API函数的地址已改变了颜色。说明下好了断点。

说明一下：BPX一般中断在程序调用API的地址处。BP会中断在API的写入地址处。二这有所不同，根据需要选择。

优点：这种方法下的断点是针对每一个API函数的，所以具有明确的目的。

缺点：关键的API函数不容易找到。所以有时下的断点没有作用。

第三 内存断点（跟踪关键数据的断点）

Ollydbg中的内存断点相当于TRW中的bpm 断点。

下断点的方法是：在程序运行中断时选择界面中的转存窗口，用光标选择内存中的一段关键数据（颜色会改变），然后右击鼠标出现功能菜单。选择〔断点〕项，其中有二个选择〔内存访问〕和〔内存写入〕。

〔内存访问〕断点是程序运行时要调用被选择的内存数据时就会被Ollydbg中断，根据这个特点在破解跟踪时只要在关键数据内存中下中断就可以知道程序在什么地方和什么时候用到了跟踪的数据。对于一些复杂算法和流程变态的算法跟踪有很大的帮助。从破解上讲，一个注册码的生成一定是由一些关键数据或者原始数据计算来的。所以在内存中一定要用到这些关键数据。那么〔内存访问〕断点就是最好的中断方法。

〔内存写入〕断点是程序运行时向被选择的内存地址写入数据时就会被Ollydbg中断。根据这个特点在破解时可以跟踪一个关键数据是什么时候生成的，生成的代码段在那个地方。所以一个关键的数据如果不知道他的由来就可以用〔内存访问〕断点查找计算的核心。

内存中断的下断点还有另外的一种方法：程序运行时如果知道关键的数据，比如我们输入的试验码、程序生成的序列号等。这时在内存中一定存在这些数据。用Alt+M打开内存窗口，在这个窗口中搜索知道的关键数据。用光标选择这些数据同样下内存中断，这种方法更容易找的关键的数据。

优点：断点是直接面向关键数据的，所以比较容易到核心部分。

缺点：内存断点重新运行后会消失，干扰比较多。

第四 硬件断点（跟踪关键标志的断点）

硬件断点是Olldbg所特有的断点，他不会因为重新运行就销毁，只要不删除。跟踪这个程序时就有效。但他在98系统下会不起作用。

硬件断点是根据关键标志回逆到关键代码的好方法。下中断的方法和内存断点的方法相同，有三个方式〔硬件访问〕、〔硬件写入〕、〔硬件执行〕。一般用前2个。他也同样有内存断点的特性，所以可以用内存断点的地方也可以用硬件断点。这里介绍利用他来跟踪注册标志的使用方法，一般软件的注册都用到了标志比较。即在内存地址中有一个标志，在判断是不是注册时比较标志的值。不同的值表示不同的注册状态。这个标志的地址一般比较固定。根据这个特点可以下硬件断点来跟踪标志位是什么地方被标志的。

方法：在转存窗口中选择到标志存放的内存地址处，然后选择标志值。下〔硬件写入〕中断（根据标志的字节下不同的长度）。重新运行程序你会发现Ollydbg会不断的中断在这个标志的内存地址处。在功能菜单的〔调试〕选项下选择〔硬件断点〕就打开了硬件断点的窗口，在这个窗口中选择〔跟踪〕，这时转存窗口就会来到被下中断的内存地址处。运行程序跟踪内存地址中的值就会知道被赋标志的代码，跟踪到计算的核心。〔硬件访问〕的使用可以知道程序在运行时多少地方用到了这个注册标志。对于破解复杂效验的程序十分的有效。

直接在命令栏里下bh ****硬件断点

--------------------------------------------------------------------------------

OllyDbg

记住:工具栏的所有功能都能在菜单栏里找到,工具栏是菜单栏的快捷按钮(废话!)

各项详细功能我们在下面说!

再往下看有四个窗口他们是代码窗(左上),寄存器窗口(右上),内存窗口(左下)和堆栈窗口(右下)

2*菜单栏各项命令功能

*文件(F)----这些命令用说吗?

&line;____注意**该菜单的下部有你上次打开的纪录,该纪录保存有你上次未清除的断点**注意**

*查看(V)------这个菜单我只介绍一下我常用的,别的我不会!:-)

&line;____执行模块(快捷键ALT+E):查看该程序使用的动态连接库(我的理解)

&line;

&line;____断点(快捷键ALT+B):这个是查看你所有的断点,(有时自己设到哪里都忘了,可以看一下)起到一个功能.

我就会这么多!:-(

*调试(D)-------这个菜单是关键,不明白你就别调试软件了!也只说常用的!

&line;_______运行(F9)加载程序后,运行!

&line;

&line;_______暂停(F12)

&line;

&line;_______单步进入(F7)遇见CALL就进!进入该子程!行话:"跟进去"

&line;

&line;______单步跳过(F8)遇见CALL不进去!不去管子程的内部!第一次粗跟的时候常用!

&line;

&line;______执行到返回(ALT+F9)就是执行到该子程的返回语句!

--------------------------------------------------------------------------------

Ctrl+F2---OllyDbg重置，重新开始调试。如果没有活动程序，OllyDbg装入历史列表中的第一个程序。OllyDbg重置会释放内存移除硬断点。

Alt+F2－－关闭被调试的程序。如果程序还在活动状态，你会被询问是否执行该操作。

F3－－显示“Open 32-bit .exe file”对话框，这里可以选择可执行文件和指定参数

Alt+F5－－使OllyDbg显示在屏幕最前方。如果被调试程序中断时显示窗口遮住OllyDbg的一些区域，不继续运行又不能移动或最小化它。激活OllyDbg按Alt+F5可以解决。如果你再次按Alt+F5，OllyDbg会恢复为普通窗口。OllyDbg的当前状态显示在状态栏。

F7－－step into，执行下一条简单命令。如果该命令是一个函数调用，进入调用函数内部。如果命令有REP前缀，执行该命令的一步操作。

Shift+F7－－与F7相同，除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。

Ctrl＋F7－－animate into，一步一步执行程序，也进入函数调用（就象你一直按着F7，不过更快）。当你执行一些单步或继续命令，程序到达有效断点，一些异常发生时，Animation终止。每步执行，OllyDbg重画所有窗口。要加速animation，关闭所有窗口而不要只改变现有窗口的大小。终止animation，也可按Esc。

F8－step over，执行下一条简单命令。如果该命令是一个函数调用，立刻执行完该函数（除非函数内部有断点或产生异常）如果命令有REP前缀，执行所有重复操作，并停于下一条命令。

Shift+F8－－与F8相同，除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。

Ctrl+F8－－animate over，一步一步执行程序，但不进入函数调用（就象你一直按着F8，不过更快）。当你执行一些单步或继续命令，程序Animation到达有效断点或异常发生时，Animation终止。每步执行，OllyDbg重画所有窗口。要加速animation，关闭所有窗口而不要只改变现有窗口的大小。终止animation也可按Esc。

F9－－继续执行程序。

Shift+F9－－与F9相同。除了当被调试程序遇到某些异常时，首先尝试调用程序自己的异常处理过程。

Ctrl+F11－－run trace into，一步一步执行程序，要进入函数调用，记录寄存器内容。Run trace 不重绘CPU窗口.

F12-悬挂所有线程以停止程序执行。最好用继续键和菜单命令（像F9）恢复执行线程，而不要用其它手动方法恢复。

Ctrl+F12－－run trace over，一步一步执行程序，不进入函数调用，记录寄存器内容。Run trace不重绘CPU窗口。

ESC－－如果animation或跟踪正在进行，将被终止。如果CPU窗口显示跟踪时的数据，此时转为显示实际数据。

Alt+B－－打开或恢复Breakpoint窗口。这里可以编辑，删除和观察断点。

Alt+C－－打开或恢复CPU窗口。

Alt+E－－打开或恢复模块列表

Alt+E－－打开或恢复Call stack窗口。

Alt+L－－打开或恢复Log窗口。

Alt+M－－打开或恢复Memory窗口。

Alt+O－－打开Option对话框

Ctrl+P－－打开Patch窗口。

Ctrl+T－－打开Pause run trace对话框

Alt＋X－中断OllyDbg。

多数窗口可以使用下列快捷键：

Alt+F3－－关闭活动窗口。

Ctrl+F4－－关闭活动窗口。

F5－－最大化或恢复活动窗口。

F6－－激活下一个窗口。

Shift+F6－－激活前一个窗口。

F10－－打开激活窗口或面板的右键菜单。

LeftArrow－－左移一个字符。

Ctrl+LeftArrow－－左移一行。

RightArrow－－右移一个字符。

Ctrl+RightArrow－－右移一行。

--------------------------------------------------------------------------------

软件破解常用汇编指令

cmp a,b // 比较a与b

mov a,b // 把b值送给a值，使a=b

ret // 返回主程序

nop // 无作用，英文（no operation）简写，意思“do nothing”（机器码90）

（ultraedit打开编辑exe文件看到90相当汇编语句的nop）

call // 调用子程序，子程序以ret结尾

je或jz // 相等则跳（机器码是74或84）

jne或jnz // 不相等则跳（机器码是75或85）

jmp // 无条件跳（机器码是EB）

jb // 若小于则跳

ja // 若大于则跳

jg // 若大于则跳

jge // 若大于等于则跳

jl // 若小于则跳

pop xxx // xxx出栈

push xxx // xxx压栈

爆破无敌口诀

一条（跳）就死，九筒（90）就胡

（对应上面的2--修改为nop）

一条（跳）就胡，一饼（EB）伺候

（对应上面的1--修改为jmp）

（74） 变（75）

（84） 变 （85）

大家不懂不要紧，一定要先牢记，以后慢慢的理解。

--------------------------------------------------------------------------------

我在刚开始用OD的过程中也遇到了许多麻烦,可刚来论坛时对各个版块也不了解.又看到论坛的首页提示新手从这里开始,所以也没敢去其他版块(主要知道自己很菜).在遇到OD的问题时很是头痛,因为在这里没有关于OD的太多入门使用说明.今天在晕转时偶得下面文章,甚是欣喜,因为早有大哥指点,只是没找到而已.现在与和我一样的菜鸟分享.

OllyDBG 入门系列（一）－认识OllyDBG

://bbs1.pediy:8081/showthre...;threadid=21284(网通)

://bbs.pediy/showthread.php...;threadid=21284(电信)

OllyDBG 入门系列（二）－字串参考

://bbs1.pediy:8081/showthre...;threadid=21308(网通)

://bbs.pediy/showthread.php...;threadid=21308(电信)

OllyDBG 入门系列（三）－函数参考

://bbs1.pediy:8081/showthre...?threadid=21330(网通)

://bbs.pediy/showthread.php?threadid=21330(电信)

OllyDBG 入门系列（四）－内存断点

://bbs1.pediy:8081/showthre...?threadid=21378(网通)

://bbs.pediy/showthread.php?threadid=21378(电信)

OllyDBG 入门系列（五）－消息断点及 RUN 跟踪

://bbs1.pediy:8081/showthre...?threadid=21532(网通)

://bbs.pediy/showthread.php?threadid=21532(电信)

OllyDBG 入门系列（七）－汇编功能

://bbs1.pediy:8081/showthre...?threadid=23873(网通)

://bbs.pediy/showthread.php?threadid=23873(电信)

大哥编的:OllyDBG 入门系列教程.CHM

://bbs1.pediy:8081/showthre...mp;pagenumber=1(网通)

://bbs.pediy/showthread.php...mp;pagenumber=1(电信)