浅谈逆向——动态分析OD简介（OD的使用1）

界面介绍

A区域:view菜单功能项的快捷按钮

B+C+D+E+F: CPU窗口 （OD打开一个可执行文件后，会立刻加载，自动分析后并列出汇编代码，默认打开CPU窗口）

B区域:反汇编面板窗口
（分为4列从左至右依次是Address,Hex dump,Disassembly,Comment）

• Address(地址):显示被双击行的相对地址，再次双击返回便准地址模式；
• Hex dump(十六进制机器码):设置或取消无条件断点，对应的快捷键是F2；
• Disassembly(反汇编代码):调用汇编器，可直接修改汇编代码，对应快捷键是空格。
• Comment(注释):允许增加或编辑注释，对应的快捷键是";";
• 从键盘上选取多行，可按Shift和上下光标键（PgUp/PgDn）,可以使用右键快捷菜单，可以按Ctrl键并按上下光标，可逐行滚动汇编窗口。（数据与代码混合时异常有用）

C区域:信息面板窗口

• 在进行动态追踪时，信息面板窗口将显示与指令相关的各寄存器的值，API函数调用提示和跳转提示等信息。

D区域:数据面板窗口

• 以十六进制和字符方式显示文件在内存中的数据，要显示制定内存地址的数据，可单击右键快捷菜单中的“Go to expression”命令或者按Ctrl+G快捷键，打开地址窗口输入地址。

E区域:寄存器面板窗口

• 显示CPU各寄存器的值，支持浮点,MMX,3DNow!寄存器。可以右键或窗口标题切换显示寄存器的方式。

F区域:栈面板窗口

• 显示栈的内容，即ESP指向地址的内容。将数据放入栈的称为入栈(push)，从栈中取出数据的操作称为出栈(pop)。API函数和子程序都利用它传递参数和变量。

OD的配置

OD的设置项在Options(选项)菜单里，包括(Appearance)界面选项和(Debugging options)调试选项

1.界面设置

• Options->Appearance->Directories(目录)设置Udd和插件文件的路径(为了避免不必要的麻烦，请使用绝对路径)。
• Udd：OD的工程文件，用于保存当前调试的一些状态(断点，注释)，方便下次调试时继续使用。
• 插件：用于扩展功能，路径设置正确后，将插件复制到plugin目录里。相应的选项就会出现在OD的主菜单plugin里显示出来。

2.调试设置

• 一般保持默认即可。其中Exceptions(异常)选项用于设置让OD忽略或不忽略某些异常。

3.加载符号文件

• 使用符号库(Lib)可以让OD以函数名的形式显示DLL中的函数。MFC42.DLL是用序号形式输出函数的，OD中只能以序号形式显示，如果让其加载MFC42.dll调试符号，将以函数名的形式显示相关的输出函数。Debug->Select import libraries,打开导入库窗口进行加载。

4.关联到右键快捷菜单

• 可以将OD关联到Windows资源管理器的右键菜单里面。关联后调试时只需要在EXE或者DLL文件上单击右键，就会出现用OD打开的菜单项。实现关联步骤：Options->Add to explorer->Add OD to menu in Windows Explorer。