使用的示例是《Windows程序設(shè)計(jì)》第五版第一章的HelloMsg.exe；

?

一 UPX命令行壓縮

?

下載
upx.sourceforge.net/download/upx304w.zip

upx是一個(gè)可執(zhí)行文件壓縮工具；

upx -o HelloMsg_upx.exe HelloMsg.exe

-O，輸出壓縮文件，不帶其他參數(shù)；只打 upx ，查看幫助；

壓縮以后exe減小；

?

二 反匯編動(dòng)畫進(jìn)入

?

首先加載HelloMsg.exe；停留在004011C0；此時(shí)的加載暫停選項(xiàng)是 主模塊的入口點(diǎn)；

跟蹤菜單里面有，動(dòng)畫進(jìn)入，動(dòng)畫結(jié)束；一個(gè)相當(dāng)于自動(dòng)反復(fù)執(zhí)行F7，一個(gè)相當(dāng)于自動(dòng)反復(fù)執(zhí)行F8；

這兩個(gè)并不是一個(gè)開始，一個(gè)結(jié)束；
?

對(duì)HelloMsg.exe反匯編出來(lái)的主模塊，是從00401000開始；到00407FFF結(jié)束；

執(zhí)行 Ctrl+F8；開始自動(dòng)跟蹤代碼，光標(biāo)自己移動(dòng)；
打下圖，下劃紅色一排四個(gè)按鈕，均無(wú)法停止對(duì)此程序的自動(dòng)跟蹤；只能打下劃綠色的暫停按鈕暫停；
暫停住，已經(jīng)自動(dòng)運(yùn)行到76B01000；

重啟動(dòng)；再執(zhí)行Ctrl+F8；暫停住，已經(jīng)自動(dòng)運(yùn)行到753B2617；
就是對(duì)此程序的自動(dòng)跟蹤，無(wú)法轉(zhuǎn)換到F7和F8模式；

三 OllyDbg搜索命令功能

?

加載UPX壓縮過(guò)的HelloMsg_upx.exe；
現(xiàn)在還不清楚upx壓縮和加殼是什么關(guān)系；
加殼的代碼很可能存在循環(huán)；
匯編循環(huán)語(yǔ)句的一種情況是使用ECX計(jì)數(shù)；下面來(lái)查找加載程序中包含ECX的指令；右鍵菜單選擇 搜索-命令；

輸入 ecx 搜索；提示 未知命令；

輸入pop ecx；
搜到一條 pop ecx指令；

此工具的 搜索-命令 菜單，只能搜索整條指令匹配的情況；

?

現(xiàn)在干完了以上活；

根據(jù)逆向相關(guān)資料；壓縮或加殼后的exe，很可能存在匯編循環(huán)代碼；有時(shí)稱 解壓縮循環(huán)；

跟蹤此類代碼，可以打Ctrl+F8進(jìn)入自動(dòng)跟蹤；如果碰到循環(huán)；光標(biāo)會(huì)在一段代碼處反復(fù)自動(dòng)上下；此時(shí)打F7大概可以停止跟蹤，查看循環(huán)；

干完了以上以后，有時(shí)間可以開始操作對(duì)加殼的程序進(jìn)行跟蹤；

總結(jié)

以上是生活随笔為你收集整理的UPX命令行压缩、反汇编动画进入、OllyDbg搜索命令功能的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。