OllyDBG入门精彩转帖|::::脱壳破解:::: - ★广海社区★ -
授人以鱼不如授人以渔 - Powered by phpwind
查看完整版本: [--
&Pages: ( 2 total )
OllyDBG入门精彩转帖
老帖子回顾 温故而知新呀 &&虽说是转载 但是精品教程值得大家留步一看! &&&下载链接失效，请访问更新帖
OllyDBG 入门系列（一）－认识OllyDBG&OllyDBG 入门系列（一）－认识OllyDBG&作者：CCDebuger&一、OllyDBG 的安装与配置&OllyDBG 1.10 版的发布版本是个 ZIP 压缩包，只要解压到一个目录下，运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包，同样只需解压到一个目录下运行 OllyDBG.exe 即可：&=700) window.open('/upload/2006/4/image/od_window.gif_950.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能，更详细的内容可以参考 TT 小组翻译的中文帮助：&反汇编窗口：显示被调试程序的反汇编代码，标题栏上的地址、HEX 数据、反汇编、注释可以通过在窗口中右击出现的菜单 界面选项-&隐藏标题 或 显示标题 来进行切换是否显示。用鼠标左键点击注释标签可以切换注释显示的方式。&寄存器窗口：显示当前所选线程的 CPU 寄存器内容。同样点击标签 寄存器 (FPU) 可以切换显示寄存器的方式。&信息窗口：显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。&数据窗口：显示内存或文件的内容。右键菜单可用于切换显示方式。&堆栈窗口：显示当前线程的堆栈。&要调整上面各个窗口的大小的话，只需左键按住边框拖动，等调整好了，重新启动一下 OllyDBG 就可以生效了。&启动后我们要把插件及 UDD 的目录配置为绝对路径，点击菜单上的 选项-&界面，将会出来一个界面选项的对话框，我们点击其中的目录标签：&=700) window.open('/upload/2006/4/image/od_dir.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &因为我这里是把 OllyDBG 解压在 F:\OllyDBG 目录下，所以相应的 UDD 目录及插件目录按图上配置。还有一个常用到的标签就是上图后面那个字体，在这里你可以更改 OllyDBG 中显示的字体。上图中其它的选项可以保留为默认，若有需要也可以自己修改。修改完以后点击确定，弹出一个对话框，说我们更改了插件路径，要重新启动 OllyDBG。在这个对话框上点确定，重新启动一下 OllyDBG，我们再到界面选项中看一下，会发现我们原先设置好的路径都已保存了。有人可能知道插件的作用，但对那个 UDD 目录不清楚。我这简单解释一下：这个 UDD 目录的作用是保存你调试的工作。比如你调试一个软件，设置了断点，添加了注释，一次没做完，这时 OllyDBG 就会把你所做的工作保存到这个 UDD 目录，以便你下次调试时可以继续以前的工作。如果不设置这个 UDD 目录，OllyDBG 默认是在其安装目录下保存这些后缀名为 udd 的文件，时间长了就会显的很乱，所以还是建议专门设置一个目录来保存这些文件。&另外一个重要的选项就是调试选项，可通过菜单 选项-&调试设置 来配置：&=700) window.open('/upload/2006/4/image/od_debug_op.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &新手一般不需更改这里的选项，默认已配置好，可以直接使用。建议在对 OllyDBG 已比较熟的情况下再来进行配置。上面那个异常标签中的选项经常会在脱壳中用到，建议在有一定调试基础后学脱壳时再配置这里。&除了直接启动 OllyDBG 来调试外，我们还可以把 OllyDBG 添加到资源管理器右键菜单，这样我们就可以直接在 .exe 及 .dll 文件上点右键选择“用Ollydbg打开”菜单来进行调试。要把 OllyDBG 添加到资源管理器右键菜单，只需点菜单 选项-&添加到浏览器，将会出现一个对话框，先点击“添加 Ollydbg 到系统资源管理器菜单”，再点击“完成”按钮即可。要从右键菜单中删除也很简单，还是这个对话框，点击“从系统资源管理器菜单删除 Ollydbg”，再点击“完成”就行了。&OllyDBG 支持插件功能，插件的安装也很简单，只要把下载的插件（一般是个 DLL 文件）复制到 OllyDBG 安装目录下的 PLUGIN 目录中就可以了，OllyDBG 启动时会自动识别。要注意的是 OllyDBG 1.10 对插件的个数有限制，最多不能超过 32 个，否则会出错。建议插件不要添加的太多。&到这里基本配置就完成了，OllyDBG 把所有配置都放在安装目录下的 ollydbg.ini 文件中。&二、基本调试方法&OllyDBG 有三种方式来载入程序进行调试，一种是点击菜单 文件-&打开 （快捷键是 F3）来打开一个可执行文件进行调试，另一种是点击菜单 文件-&附加 来附加到一个已运行的进程上进行调试。注意这里要附加的程序必须已运行。第三种就是用右键菜单来载入程序（不知这种算不算）。一般情况下我们选第一种方式。比如我们选择一个 test.exe 来调试，通过菜单 文件-&打开 来载入这个程序，OllyDBG 中显示的内容将会是这样：&=700) window.open('/upload/2006/4/image/od_debug_test.gif_029.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &调试中我们经常要用到的快捷键有这些：&F2：设置断点，只要在光标定位的位置（上图中灰色条）按F2键即可，再按一次F2键则会删除断点。（相当于 SoftICE 中的 F9）&F8：单步步过。每按一次这个键执行一条反汇编窗口中的一条指令，遇到 CALL 等子程序不进入其代码。（相当于 SoftICE 中的 F10）&F7：单步步入。功能同单步步过(F8)类似，区别是遇到 CALL 等子程序时会进入其中，进入后首先会停留在子程序的第一条指令上。（相当于 SoftICE 中的 F8）&F4：运行到选定位置。作用就是直接运行到光标所在位置处暂停。（相当于 SoftICE 中的 F7）&F9：运行。按下这个键如果没有设置相应断点的话，被调试的程序将直接开始运行。（相当于 SoftICE 中的 F5）&CTR+F9：执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停，常用于从系统领空返回到我们调试的程序领空。（相当于 SoftICE 中的 F12）&ALT+F9：执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。（相当于 SoftICE 中的 F11）&上面提到的几个快捷键对于一般的调试基本上已够用了。要开始调试只需设置好断点，找到你感兴趣的代码段再按 F8 或 F7 键来一条条分析指令功能就可以了。
上一篇是使用入门，现在我们开始正式进入破解。今天的目标程序是看雪兄《加密与解密》第一版附带光盘中的 crackmes.cjb.net 镜像打包中的 CFF Crackme #3，采用用户名/序列号保护方式。原版加了个 UPX 的壳。刚开始学破解先不涉及壳的问题，我们主要是熟悉用 OllyDBG 来破解的一般方法。我这里把壳脱掉来分析，附件是脱壳后的文件，直接就可以拿来用。先说一下一般软件破解的流程：拿到一个软件先别接着马上用 OllyDBG 调试，先运行一下，有帮助文档的最好先看一下帮助，熟悉一下软件的使用方法，再看看注册的方式。如果是序列号方式可以先输个假的来试一下，看看有什么反应，也给我们破解留下一些有用的线索。如果没有输入注册码的地方，要考虑一下是不是读取注册表或 Key 文件（一般称 keyfile，就是程序读取一个文件中的内容来判断是否注册），这些可以用其它工具来辅助分析。如果这些都不是，原程序只是一个功能不全的试用版，那要注册为正式版本就要自己来写代码完善了。有点跑题了，呵呵。获得程序的一些基本信息后，还要用查壳的工具来查一下程序是否加了壳，若没壳的话看看程序是什么编译器编的，如 VC、Delphi、VB 等。这样的查壳工具有 PEiD 和 FI。有壳的话我们要尽量脱了壳后再来用 OllyDBG 调试，特殊情况下也可带壳调试。下面进入正题：&我们先来运行一下这个 crackme（用 PEiD 检测显示是 Delphi 编的），界面如图：&=700) window.open('/pic/1/a-734gui.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&这个 crackme 已经把用户名和注册码都输好了，省得我们动手^_^。我们在那个“Register now !”按钮上点击一下，将会跳出一个对话框：&=700) window.open('/pic/1/a-371ror.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &好了，今天我们就从这个错误对话框中显示的“Wrong Serial, try again!”来入手。启动 OllyDBG，选择菜单 文件-&打开 载入 CrackMe3.exe 文件，我们会停在这里：&=700) window.open('/pic/1/a-833ain.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &我们在反汇编窗口中右击，出来一个菜单，我们在 查找-&所有参考文本字串 上左键点击：&=700) window.open('/pic/1/a-876ing.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&当然如果用上面那个 超级字串参考＋ 插件会更方便。但我们的目标是熟悉 OllyDBG 的一些操作，我就尽量使用 OllyDBG 自带的功能，少用插件。好了，现在出来另一个对话框，我们在这个对话框里右击，选择“查找文本”菜单项，输入“Wrong Serial, try again!”的开头单词“Wrong”（注意这里查找内容要区分大小写）来查找，找到一处：&=700) window.open('/pic/1/a-884ea5.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &在我们找到的字串上右击，再在出来的菜单上点击“反汇编窗口中跟随”，我们来到这里：&=700) window.open('/pic/1/a-572ea6.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&见上图，为了看看是否还有其他的参考，可以通过选择右键菜单查找参考-&立即数，会出来一个对话框：&=700) window.open('/pic/1/a-521ea7.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&分别双击上面标出的两个地址，我们会来到对应的位置：&00440F79 |. BA 8C104400& &
MOV EDX,CrackMe3.0044108C& & & & & & ASCII &Wrong Serial,try again!&&00440F7E |. A1 442C4400& &
MOV EAX,DWORD PTR DS:[442C44]&00440F83 |. 8B00& & & & & & MOV EAX,DWORD PTR DS:[EAX]&00440F85 |. E8 DEC0FFFF& &
CALL CrackMe3.&00440F8A |. EB 18& & & & &
JMP SHORT CrackMe3.00440FA4&00440F8C |& 6A 00& & & & &
PUSH 0&00440F8E |. B9 & &
MOV ECX,CrackMe3.& & & & & & ASCII &Beggar off!&&00440F93 |. BA 8C104400& &
MOV EDX,CrackMe3.0044108C& & & & & & ASCII &Wrong Serial,try again!&&00440F98 |. A1 442C4400& &
MOV EAX,DWORD PTR DS:[442C44]&00440F9D |. 8B00& & & & & & MOV EAX,DWORD PTR DS:[EAX]&00440F9F |. E8 C4C0FFFF& &
CALL CrackMe3.&我们在反汇编窗口中向上滚动一下再看看：&00440F2C |. 8B45 FC& & & &
MOV EAX,DWORD PTR SS:[EBP-4]&00440F2F |. BA & &
MOV EDX,CrackMe3.& & & & & & ASCII &Registered User&&00440F34 |. E8 F32BFCFF& &
CALL CrackMe3.00403B2C& & & & & & & & ; 关键，要用F7跟进去&00440F39 |. 75 51& & & & &
JNZ SHORT CrackMe3.00440F8C& & & & & 这里跳走就完蛋&00440F3B |. 8D55 FC& & & &
LEA EDX,DWORD PTR SS:[EBP-4]&00440F3E |. 8B83 C8020000&
MOV EAX,DWORD PTR DS:[EBX+2C8]&00440F44 |. E8 D7FEFDFF& &
CALL CrackMe3.00420E20&00440F49 |. 8B45 FC& & & &
MOV EAX,DWORD PTR SS:[EBP-4]&00440F4C |. BA 2C104400& &
MOV EDX,CrackMe3.0044102C& & & & & & ASCII &GFX-754-IER-954&&00440F51 |. E8 D62BFCFF& &
CALL CrackMe3.00403B2C& & & & & & & & ; 关键，要用F7跟进去&00440F56 |. 75 1A& & & & &
JNZ SHORT CrackMe3.00440F72& & & & & 这里跳走就完蛋&00440F58 |. 6A 00 PUSH 0&00440F5A |. B9 3C104400& &
MOV ECX,CrackMe3.0044103C& & & & & & ASCII &CrackMe cracked successfully&&00440F5F |. BA 5C104400& &
MOV EDX,CrackMe3.0044105C& & & & & & ASCII &Congrats! You cracked this CrackMe!&&00440F64 |. A1 442C4400& &
MOV EAX,DWORD PTR DS:[442C44]&00440F69 |. 8B00& & & & & & MOV EAX,DWORD PTR DS:[EAX]&00440F6B |. E8 F8C0FFFF& &
CALL CrackMe3.&00440F70 |. EB 32& & & & &
JMP SHORT CrackMe3.00440FA4&00440F72 |& 6A 00& & & & &
PUSH 0&00440F74 |. B9 & &
MOV ECX,CrackMe3.& & & & & & ASCII &Beggar off!&&00440F79 |. BA 8C104400& &
MOV EDX,CrackMe3.0044108C& & & & & & ASCII &Wrong Serial,try again!&&00440F7E |. A1 442C4400& &
MOV EAX,DWORD PTR DS:[442C44]&00440F83 |. 8B00& & & & & & MOV EAX,DWORD PTR DS:[EAX]&00440F85 |. E8 DEC0FFFF& &
CALL CrackMe3.&00440F8A |. EB 18& & & & &
JMP SHORT CrackMe3.00440FA4&00440F8C |& 6A 00& & & & &
PUSH 0&00440F8E |. B9 & &
MOV ECX,CrackMe3.& & & & & & ASCII &Beggar off!&&00440F93 |. BA 8C104400& &
MOV EDX,CrackMe3.0044108C& & & & & & ASCII &Wrong Serial,try again!&&00440F98 |. A1 442C4400& &
MOV EAX,DWORD PTR DS:[442C44]&00440F9D |. 8B00& & & & & & MOV EAX,DWORD PTR DS:[EAX]&00440F9F |. E8 C4C0FFFF& &
CALL CrackMe3.&大家注意看一下上面的注释，我在上面标了两个关键点。有人可能要问，你怎么知道那两个地方是关键点？其实很简单，我是根据查看是哪条指令跳到“wrong serial,try again”这条字串对应的指令来决定的。如果你在 调试选项-&CPU 标签中把“显示跳转路径”及其下面的两个“如跳转未实现则显示灰色路径”、“显示跳转到选定命令的路径”都选上的话，就会看到是从什么地方跳到出错字串处的：&=700) window.open('/pic/1/a-337ea8.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&我们在上图中地址 00440F2C 处按 F2 键设个断点，现在我们按 F9 键，程序已运行起来了。我在上面那个编辑框中随便输入一下，如 CCDebuger，下面那个编辑框我还保留为原来的“754-GFX-IER-954”，我们点一下那个“Register now !”按钮，呵，OllyDBG 跳了出来，暂停在我们下的断点处。我们看一下信息窗口，你应该发现了你刚才输入的内容了吧？我这里显示是这样：&堆栈 SS:[0012F9AC]=00D44DB4, (ASCII &CCDebuger&)&EAX=&上面的内存地址 00D44DB4 中就是我们刚才输入的内容，我这里是 CCDebuger。你可以在 堆栈 SS:[0012F9AC]=00D44DB4, (ASCII &CCDebuger&) 这条内容上左击选择一下，再点右键，在弹出菜单中选择“数据窗口中跟随数值”，你就会在下面的数据窗口中看到你刚才输入的内容。而 EAX= 指的是你输入内容的长度。如我输入的 CCDebuger 是9个字符。如下图所示：&=700) window.open('/pic/1/a-630ea9.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &现在我们来按 F8 键一步步分析一下：&00440F2C |. 8B45 FC& & & &
MOV EAX,DWORD PTR SS:[EBP-4]& & & & & ; 把我们输入的内容送到EAX，我这里是“CCDebuger”&00440F2F |. BA & &
MOV EDX,CrackMe3.& & & & & & ASCII &Registered User&&00440F34 |. E8 F32BFCFF& &
CALL CrackMe3.00403B2C& & & & & & & & ; 关键，要用F7跟进去&00440F39 |. 75 51& & & & &
JNZ SHORT CrackMe3.00440F8C& & & & & 这里跳走就完蛋&当我们按 F8 键走到 00440F34 |. E8 F32BFCFF& &
CALL CrackMe3.00403B2C 这一句时，我们按一下 F7 键，进入这个 CALL，进去后光标停在这一句：&=700) window.open('/pic/1/a-725all.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >& &我们所看到的那些 PUSH EBX、 PUSH ESI 等都是调用子程序保存堆栈时用的指令，不用管它，按 F8 键一步步过来，我们只关心关键部分：&00403B2C /$Content$53& & & & & & & PUSH EBX&00403B2D |. 56& & & & & & & PUSH ESI&00403B2E |. 57& & & & & & & PUSH EDI&00403B2F |. 89C6& & & & & & MOV ESI,EAX& & & & & & & & & & & & 把EAX内我们输入的用户名送到 ESI&00403B31 |. 89D7& & & & & & MOV EDI,EDX& & & & & & & & & & & & 把EDX内的数据“Registered User”送到EDI&00403B33 |. 39D0& & & & & & CMP EAX,EDX& & & & & & & & & & & & 用“Registered User”和我们输入的用户名作比较&00403B35 |. 0F84 8F000000&
JE CrackMe3.00403BCA& & & & & & & & ; 相同则跳&00403B3B |. 85F6& & & & & & TEST ESI,ESI& & & & & & & & & & & & ; 看看ESI中是否有数据，主要是看看我们有没有输入用户名&00403B3D |. 74 68& & & & &
JE SHORT CrackMe3.00403BA7& & & & & ; 用户名为空则跳&00403B3F |. 85FF& & & & & & TEST EDI,EDI&00403B41 |. 74 6B& & & & &
JE SHORT CrackMe3.00403BAE&00403B43 |. 8B46 FC& & & &
MOV EAX,DWORD PTR DS:[ESI-4]& & & & ; 用户名长度送EAX&00403B46 |. 8B57 FC& & & &
MOV EDX,DWORD PTR DS:[EDI-4]& & & & ; “Registered User”字串的长度送EDX&00403B49 |. 29D0& & & & & & SUB EAX,EDX& & & & & & & & & & & & 把用户名长度和“Registered User”字串长度相减&00403B4B |. 77 02& & & & &
JA SHORT CrackMe3.00403B4F& & & & & ; 用户名长度大于“Registered User”长度则跳&00403B4D |. 01C2& & & & & & ADD EDX,EAX& & & & & & & & & & & & 把减后值与“Registered User”长度相加，即用户名长度&00403B4F |& 52& & & & & & & PUSH EDX&00403B50 |. C1EA 02& & & &
SHR EDX,2& & & & & & & & & & & & & 用户名长度值右移2位，这里相当于长度除以4&00403B53 |. 74 26& & & & &
JE SHORT CrackMe3.00403B7B& & & & & ; 上面的指令及这条指令就是判断用户名长度最少不能低于4&00403B55 |& 8B0E& & & & & & MOV ECX,DWORD PTR DS:[ESI]& & & & & ; 把我们输入的用户名送到ECX&00403B57 |. 8B1F& & & & & & MOV EBX,DWORD PTR DS:[EDI]& & & & & ; 把“Registered User”送到EBX&00403B59 |. 39D9& & & & & & CMP ECX,EBX& & & & & & & & & & & & 比较&00403B5B |. 75 58& & & & &
JNZ SHORT CrackMe3.00403BB5& & & & 不等则完蛋&根据上面的分析，我们知道用户名必须是“Registered User”。我们按 F9 键让程序运行，出现错误对话框，点确定，重新在第一个编辑框中输入“Registered User”，再次点击那个“Register now !”按钮，被 OllyDBG 拦下。因为地址 00440F34 处的那个 CALL 我们已经分析清楚了，这次就不用再按 F7 键跟进去了，直接按 F8 键通过。我们一路按 F8 键，来到第二个关键代码处：&00440F49 |. 8B45 FC& & & &
MOV EAX,DWORD PTR SS:[EBP-4]& & & & 取输入的注册码&00440F4C |. BA 2C104400& &
MOV EDX,CrackMe3.0044102C& & & & & & ; ASCII &GFX-754-IER-954&&00440F51 |. E8 D62BFCFF& &
CALL CrackMe3.00403B2C& & & & & & & 关键，要用F7跟进去&00440F56 |. 75 1A& & & & &
JNZ SHORT CrackMe3.00440F72& & & & & ; 这里跳走就完蛋&大家注意看一下，地址 00440F51 处的 CALL CrackMe3.00403B2C 和上面我们分析的地址 00440F34 处的 CALL CrackMe3.00403B2C 是不是汇编指令都一样啊？这说明检测用户名和注册码是用的同一个子程序。而这个子程序 CALL 我们在上面已经分析过了。我们执行到现在可以很容易得出结论，这个 CALL 也就是把我们输入的注册码与 00440F4C 地址处指令后的“GFX-754-IER-954”作比较，相等则 OK。好了，我们已经得到足够的信息了。现在我们在菜单 查看-&断点 上点击一下，打开断点窗口（也可以通过组合键 ALT+B 或点击工具栏上那个“B”图标打开断点窗口）：&=700) window.open('/pic/1/a-195int.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&为什么要做这一步，而不是把这个断点删除呢？这里主要是为了保险一点，万一分析错误，我们还要接着分析，要是把断点删除了就要做一些重复工作了。还是先禁用一下，如果经过实际验证证明我们的分析是正确的，再删不迟。现在我们把断点禁用，在 OllyDBG 中按 F9 键让程序运行。输入我们经分析得出的内容：&用户名：Registered User&注册码：GFX-754-IER-954&点击“Register now !”按钮，呵呵，终于成功了：&=700) window.open('/pic/1/a-617ish.gif');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >
这里感谢下 站内编辑人员 &&说明：由于OllyDBG 1.1官方不再更新，故一些爱好者对OllyDBG修改，以新增一些功能或修正一些bug，OllyICE就是其中的一个修改版，取名OllyICE只是便于区分，其实质还是OllyDBG。 &一个新的动态追踪工具，将IDA与SoftICE结合起来的思想，Ring 3级调试器，非常容易上手，己代替SoftICE成为当今最为流行的调试解密工具了。强烈推荐！ &OllyICE v1.10 修改版 [] &================================================================================ & &1.LOCKLOSE添加了部分API和结构体信息： &　1)添加了一些API的识别； &　2)添加到290个结构体&枚举类型； &　3)添加到2504个API函数结构； &　4)包含了部分VB常见函数，部分VC函数，包含部分MSVCRT.DLL函数； &2.修正部分bug &OllyICE.exe 是在cao_cong汉化第二版基础上修改的。 &OLLYDBG.EXE 英文修改版，修改的地方与OllyICE.exe一样 &注：OllyICE.exe（cao_cong汉化版）配制文件Ollydbg.ini完全英文化，因此中英文版本的OllyDBG可以很好地共用一个配置文件。 &OllyICE这个名称来自forgot的OLLYDBG修改本。 &OllyICE.EXE与OLLYDBG.EXE同时做了如下修改： &1.窗口、类名等常见修改； &2.格式化字符串的漏洞[OutPutDebugString]补丁； &3.参考dyk158的ODbyDYK v1.10 ，自动配置UDD、PLUGIN为绝对路径； &4.参考nbw的&OD复制BUG分析和修正&一文,修正从内存区复制数据时,有时无法将所有的数据都复制到剪贴板的bug。 &5.参考ohuangkeo“不被OD分析原因之一和修补方法”，稍改进了OD识别PE格式能力(可能仍报是非PE文件，但己可调试了)。 &6.修正OllyScript.dll插件bpwm命令内存读写都中断的问题。 &7.jingulong的Loaddll.exe，可以方便让OllDbg中断在dll的入口。 &8.感谢DarkBul告知SHIFT+F2条件窗口显示的bug及修复。 &9.感谢dreaman修复Findlabel,Findname,Findnextname三个函数处理字符串会溢出的bug。 &10.改善sprintf函数显示某些浮点数会崩溃的bug，这里的修复代码直接引用heXer的代码。 &11.该修改版，配合HideOD插件，可以很好地隐藏OD。 &12.新增实用的快捷键功能 &13.修正Themida v1.9.x.x检测OllyICE的Anti，配合HideToolz即可调试Themida v1.9.x.x加壳程序。 &14.LOCKLOSE添加了部分API和结构体信息。 & &&&&& &Olldbg的各种插件，非常重要，可以扩展OllyDbg的功能 &&&& &将一些网站收集的OllyScrip脚本转到此处，方便大家查询。 &&& &OSCEditor(OllyScript Editor)是专门为OllyDbg的插件ollyscript而写的脚本编辑器。 本程序利用动态显示相关命令，即时显示相关命令的语法和可供选择的格式化文本等方式，方便我们快速写出脚本。
占个位置以后予以编辑
真的不错啊，省了好多找的时间啊
看样子好像很不错哦 [s:44]
顺便回复一下，呵呵
大大的圖文真詳細
学习了...顶
太好了已经下载
正用这些东西，关注中
直接看雪拉过来的
这样的好帖子值得学习
太好了，节省了很多的时间
[s:44] ，学习中，支持。
还可以,比较全
谢谢大大们！
大大的圖文真詳細
绝对牛，太好了
努力学习ing
我不会 但是帮你顶下···
。。。。。。真详细啊。。还有后续么 ？
好东西啊！不过原创应该是看雪吧！&
新来的，来瞻仰前辈们的痕迹
真的不错啊，省了好多找的时间啊 ，温故知新
受制于鱼不如受制于与啊
正好对OD不太熟悉，谢谢分享
这个要顶。。谢谢！
回一下``下了
看过了，在看一次
好文啊&&留个记号 日后 慢慢看
来到广海，才知道高手无处不在！！
新手入门的好贴。
好帖啊。。。。。。正在找呢~~先支持一个。。。。
谢谢楼主··收藏了
回复作个记号。。
很全&&很细，LZ辛苦整理了~！~
下载来学习学习……
真的不错啊
新手学习&&谢谢楼主分享
谢谢，有机会学习啦。
支持，谢谢分享
大大的圖文真詳細
真的不错啊，省了好多找的时间啊
查看完整版本: [--
Powered by
Time 0.087957 second(s),query:2 Gzip enabled认识项目数据分析师，从学习开始_昆明吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：312,323贴子：
认识项目数据分析师，从学习开始收藏
大学毕业之后，我面临着千千万万靴子共同面对的问题——就业。后来，我顺利地进入一家国企做会计。财务工作是枯燥的，机械的，有时候甚至是天天贴发票，然后报销，走流程。年轻气盛的我不久就厌烦了这种工作状态，每天处理的都是些琐碎的事情，总觉得没有成就感。由于工作比较稳定，我还是坚持做着。但我不想沉溺于这种状态荒废下去，于是决定多学点知识，以拓宽自己的业务范围。机缘巧合之下，我接触到了项目数据分析师（CPDA）培训。因为我平时从事的财务工作主要集中在对已发生的财务数据进行分析和统计，会计人员作为公司财务部门的组成部分，经常会协助决策人员参与项目投资环节的财务分析，其实从某种意义上，在这个工作中真正需求十分迫切。经过一段时间的学习，我对项目数据分析行业有了初步的了解，也对数据分析技术的重要性有了充分认识。在海量数据的背后，其实涉及的是整个企业各方面的经营和运作。在财务工作中，这点尤其明显。财务工作通常要接触一大堆数据记录，票据、费用凭证、报表……读懂数据，便能一窥一段时间内最直观的企业经营现状。但是，数据分析能够根据这些看似毫无规律、毫无意义的大量数据，替企业找到最为关注的问题答案。比如，股东关心的是未来收益和股息；债权人关心的是公司未来有能力偿还债务；经理关心的是公司的未来扩张的融资能力……注意到这些之后，我就会在平时的工作中，运用自己在培训中学到的数据分析知识，对现有的财务数据进行统计分析，撰写了一些简单的项目分析报告，将工作中的问题妥帖解决，大大提高了自己的工作绩效，这一方法也收到了部门主管的肯定和信任。在学习和应用数据分析技术的实践过程中，我深切的感觉到，数据分析作为一种技术和一种理念，在工作和生活中发挥的作用越来越突出，并且将日益重要。我也发现，数据分析在国内的应用已经越来越普遍。不仅对企业而言十分重要，基于数据分析的基本理论知识还能够给人们的生活和工作带来帮助，减少损失。因此，现在数据分析技术已经逐渐受到更多人的青睐。例如，人们在日常的购物行为中，通过对产品价格、产品成分、产品包装、生产厂家信息、市场行情等基本信息的了解，可以对此产品的价格合理区间做一个基本的判断，从而在可承受范围内决定是否购买此产品，从一定程度上减少不必要购买而带来的损失。相信在不久的将来，“在决策之前做一次数据分析”将成为人们广为认可的理念和行为准则。
““在决策之前做一次数据分析”将成为人们广为认可的理念和行为准则。”这句话是对数据分析应用与工作和生活的精准解读
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或