[Tool/툴]OllyDbg v.All + 설명서

목차- 다운로드, 메인뷰, 메인메뉴, 코멘드, 단축키, 사용법 , 다운로드

ollydbg는 리버스 엔지니어링을 할 수 있게 도와주는 도구 입니다.

다운로드

OllyDbg v1.10 odbg110.zip

v2.00 odbg200.zip

plugins All - OllyDbg-v1.10-With-Best-Plugins-And-Immunity-Debugger-theme--master.egg

플러그인 수정 2019.03.26일자

OllyDbg's Interface

Main view

OllyDbg's는 5개의 종류의 화면을 가집니다.

Disassembler window | code : 디스 어셈블 된 코드가 실행되면서 보여줍니다.
Registers window : 레지스터가 실시간으로 값과 함께 표시됩니다 (값이 변경되면 빨간색으로 표시됨). 이 레지스터의 값을 수정 할수 있지만 값을 마우스 오른쪽 버튼으로 클릭하면됩니다.
Memory dump window: 디버깅 된 프로세스의 라이브 메모리 덤프
Stack window : 메모리에있는 스택의 현재 상태
Information window : 현재 코드 줄에 대한 정보를 가져옵니다 (예 : 점프가 수행 된 경우).

Main menu + 단축키

Executing code Windows

Icon	Hotkey	Description
	F9	Run
	F12	Pause
	F7	Single-step / Step-into
	F8	Step-over
	Ctrl+F7	Animate into
	Ctrl+F8	Animate over
	Ctrl+F9	Run until return
	Alt+F9	Run until user code

Icon	Description
`[L]`	Log data
`[E]`	Executable modules
`[M]`	Memory map
`[T]`	Threads
`[W]`	Windows
`[H]`	Handles
`[C]`	CPU
`[/]`	Patches
`[K]`	Call stack of main thread
`[B]`	Breakpoints
`[R]`	References
`[…]`	Run trace
`[S]`	Source

Command + 단축키

명령어	단축키	설명
Go to	[Ctrl+G]	원하는 주소로 이동(코드,메모리를 확인할 때 사용. 실행 X)
Execute till Cursor	[F4]	커서 위치까지 실행(디버깅하고 싶은 주소까지 바로 이동 가능)
Comment	;	Comment 추가
User-defined comment		마우슥 우측 메뉴 Search for User - defined comment
Label	:	Label 추가
User-defined label		마우스 우측 메뉴 Search for User - defined label
Set/Reset BreakPoint	[F2]	BreakPoint 설정/해제
Step Into	[F7]	하나의 OP Code 실행(CALL 명령을 만나면 그 함수 코드 내부로 들어감)
Step Over	[F8]	하나의 OP Code 실행(CALL 명령을 만나면 따라 들어가지 않고 그냥 함수 자체를 실행함)
Run	[F9]	실행(BreakPoint가 걸려 있는 곳에서 실행 정지)
Execute till return	[Ctrl+F9]	함수 코드 내에서 RET 명령어까지 실행(함수 탈출 목적)
Show the current EIP	*	현재 EIP의 위치를 보여줌
Show the previous Cursor	-	직전 커서 위치를 다시 보여줌
All referenced text strings		마우스 우측 메뉴 - Search for - All referenced text stromgs (코드의 참조 문자열 확인)
All intermodular calls		마우스 우측 메뉴 - Search for - All intermodular calls (코드에서 호출되는 모든 API 함수 확인)
Name in all modules		마우스 우측 메뉴 - Search for - Name in all modules (모든 API 함수 확인)
Edit data	[Ctrl+E]	데이터 편집
Assemble	[Space]	어셈블리 코드 작성
Copy to executable file		마우스 우측 메뉴 Copy to executable file (파일의 복사본 생성 - 변경사항 반영)
Preview CALL/JMP address	[Enter]	커서가 CALL/JMP 등의 명령어에 위치하면 해당 주소를 따라가서 보여줌 (실행 X, 간단한 함수 내용 확인에 유용함)

정리된 표 출처 : 출처: http://mer-bleu.tistory.com/7 [Nil]

Windows

Names

네임창은 IAT를 보여줍니다.

Log data

디스플레이 로그를 보여줍니다.

Executable modules

디버깅 된 프로그램과 함께로드 된 실행 가능 모듈 목록을 표시합니다.

Memory map

Memory Map 창은 디버깅 된 프로그램이 할당 한 모든 메모리 블록을 표시합니다. 행을 두 번 클릭하면 섹션의 메모리 덤프로 이동합니다.

Threads

Windows

Handles

CPU

Display the main interface. 기본 인터페이스를 표시하십시오.

Patches

코드에 적용된 수정 (패치)을 표시합니다.

Executing the malware

Run (F9)

분석 된 실행 파일을 즉시 실행하거나 중단 점에 도달 한 후에 일반적으로 사용됩니다.

Run to selection (F4)

선택한 명령까지 실행

Pause (F12)

거의 사용되지 않습니다. 분석 된 실행 파일을 일시 중지 할 수 있습니다.

Step into (F7)

Execute a single instruction and pause. Dive into the function's instructions.

단일 명령을 실행하고 일시 중지합니다. 함수의 지시에 뛰어 들라.

다음 코드를 분석한다고 가정 해보십시오.

스텝 인은 함수를 따라갈 것이고 디버거는 호출 된 함수의 첫 번째 명령에서 멈출 것입니다 :

Step over (F8)

Execute a single instruction and pause. If the instruction is a function, does not dive into the function's instructions

In the previous example, step over will make the debugger pause at the next line:

단일 명령을 실행하고 일시 중지합니다. 명령어가 함수 인 경우 함수의 명령어로 들어 가지 않습니다.

이전 예에서 step over는 디버거를 다음 줄에서 일시 중지합니다.

Execute till Return (Ctrl+F9)

Will pause execution just before the current function is set to return.

현재 함수가 반환하도록 설정되기 바로 전에 실행을 일시 중지합니다.

Useful when you want a program to pause immediately after the current function is finished executing

현재 함수의 실행이 끝난 직후에 프로그램을 일시 중지하려면 유용합니다.

Execute till User (Alt+F9)

Useful during malware analysis if you get lost in the code.

코드에서 길을 잃은 경우 악성 코드 분석에 유용합니다.

Will cause the program to run until the execution returns to compiled malware code (typically the .text section)

컴파일 된 맬웨어 코드 (일반적으로 .text 섹션)가 실행될 때까지 프로그램이 실행됩니다.

Execute a given function

DLL을 디버깅 할 때 유용 할 수 있습니다. EIP가 실행될 함수의 주소를 가리 키도록 수정합니다.

함수의 주소로 이동합니다 (Ctrl+G)를 마우스 오른쪽 버튼으로 클릭하고 "New origin here"를 선택하십시오.

Then press 그런 다음

F9

to run the executable. 실행 파일을 실행합니다.

Breakpoints

Software breakpoint: To implement a software breakpoint, go to the line you want the program to pause and hit F2 or right click and select "Breakpoint > Toggle".; 소프트웨어 중단 점을 구현하려면 프로그램이 일시 중지하고 F2를 누르거나 마우스 오른쪽 버튼으로 클릭하고 "중단 점> 토글"을 선택하려는 행으로 이동하십시오.

Hardware breakpoint: To implement a software breakpoint, right click on the line where you want to set the breakpoint and select "Breakpoint > Hardware, on Execution".; 소프트웨어 중단 점을 구현하려면 중단 점을 설정하려는 행을 마우스 오른쪽 단추로 클릭하고 "Breakpoint> Hardware, on Execution"을 선택하십시오.

Conditional breakpoint: To implement a software breakpoint, go to the line you want the program to pause and hit Shift+F2 or right click and select "Breakpoint > Conditional".; 소프트웨어 중단 점을 구현하려면 프로그램에서 일시 중지 할 행으로 이동하여 Shift + F2를 누르거나 마우스 오른쪽 버튼을 클릭하고 "Breakpoint> Conditional"을 선택하십시오.

Memory breakpoint (on access): To apply a memory breakpoint on access (read, write or execute), select "Breakpoint > Memory, on Access" from the right-click menu.; 액세스 (읽기, 쓰기 또는 실행)시 메모리 중단 점을 적용하려면 마우스 오른쪽 버튼 메뉴에서 "중단 점> 메모리, 액세스 중"을 선택하십시오.

Memory breakpoint (on write): To apply a memory breakpoint on access (read, write or execute), select "Breakpoint > Memory, on Write" from the right-click menu.; 액세스 (읽기, 쓰기 또는 실행)시 메모리 중단 점을 적용하려면 오른쪽 클릭 메뉴에서 "중단 점> 메모리, 쓰기"를 선택하십시오.

Tracing

To activate the trace:
Debug
>
Trace Into
(or
Ctrl
+
F11
)
To see the trace log:
View
>
Run trace

Plugins 종류

Download OllyDbg & Plugins