ollydbg调试PE文件

ollydbg项目地址:http://www.ollydbg.de/

将exe文件打开到ollydbg项目中,就会直接停到“入口点”地址处,通过View->Memory Map可以清楚地看到用户空间的各个内存区域的用途。

 

找到我们的目标文件映射到地址空间的区域,选择PE Header跟进去看AddressOfEntryPoint,再加上PE Header映射基地址,我们就得到了一开始的“入口点”地址。

 

在View中有好几个窗口,对于调试,最常用的就是CPU窗口。

将一个exe按F8(相当于F10),F7(相当于F11)有选择地跑下来,最直观的感觉就是,对于CALL指令的支持与解释对于分析程序有很大帮助:

image

如上图红色字体内容。

 

FS:[0]里面存放的是什么呢,FS指向与当前线程有关的数据,FS一般为0x7FFDF000。

image

posted @ 2014-03-10 13:50  Daniel King  阅读(1067)  评论(0编辑  收藏  举报