【OD中的汇编指令——常用】
汇编指令:常用MOV 传送字或字节.
MOVSX 先符号扩展,再传送.
MOVZX 先零扩展,再传送.
PUSH 把字压入堆栈.
POP 把字弹出堆栈.
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数)
CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX )
XADD 先交换再累加.( 结果在第一个操作数里 )
ADD 加法.
ADC 带进位加法.
INC 加 1.
AAA 加法的ASCII码调整.
DAA 加法的十进制调整.
SUB 减法.
SBB 带借位减法.
DEC 减 1.
NEC 求反(以 0 减之).
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果).
AAS 减法的ASCII码调整.
DAS 减法的十进制调整.
MUL 无符号乘法.
IMUL 整数乘法.
AAM 乘法的ASCII码调整.
DIV 无符号除法.
IDIV 整数除法.
AAD 除法的ASCII码调整.
CBW 字节转换为字. (把AL中字节的符号扩展到AH中去)
CWD 字转换为双字. (把AX中的字的符号扩展到DX中去)
CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去)
CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去)
逻辑运算指令
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果).
SHL 逻辑左移.
SAL 算术左移.(=SHL)
SHR 逻辑右移.
SAR 算术右移.(=SHR)
ROL 循环左移.
ROR 循环右移.
RCL 通过进位的循环左移.
RCR 通过进位的循环右移.
程序转移指令
1.简单的条件转移指令
JZ(或jE) OPR---------------结果为零转移, 测试条件ZF=1
JNZ(或jNE) OPR --------------结果不为零转移,测试条件ZF=0
JS OPR----------------------结果为负转移, 测试条件SF=1
JNS OPR---------------------结果为正转移, 测试条件SF=0
JO OPR--------------------- 溢出转移, 测试条件OF=
JNO OPR --------------------不溢出转移 , 测试条件SF=0
JP OPR ---------------------结果为偶转移, 测试条件SF=1
JNP OPR --------------------结果为奇转移 , 测试条件SF=0
JC OPR -------------------- 有进位转移 , 测试条件SF=1
JNC OPR --------------------无进位转移, 测试条件SF=0
2.无符号比较条件转移指令(以下指令经常是CMP OPD,OPS后面的指令根据比较结果来实现转移)
JB(或JNAE) opd --------------小于或者不大于等于则转移
JNB(或JAE) opd---------------不小于或者大于等于则转移
JA(或NJBE) OPD---------------大于或者不小于等于则转移
JNA(或JBE) OPD---------------不大于或者小于等于则转移
3.带符号比较条件转移指令
JL(或JNGE) --------------小于或者不大于等于则转移
JNL(或JGE)--------------不小于或者大于等于则转移
JG(或NJLE)---------------大于或者不小于等于则转移
JNG(或JLE)---------------不大于或者小于等于则转移
调用子程序与返回指令
CALL 子程序调用指令
RET 子程序返回指令
其它指令
OFFSET -------------------- 返回偏移地址
SEG -------------------- 返回段地址
EQU(=) -------------------- 等值语句
PURGE -------------------- 解除语句
DUP -------------------- 操作数字段用复制操作符
SEGMENT,ENDS -------------------- 段定义指令
ASSUME -------------------- 段地址分配指令
ORG -------------------- 起始偏移地址设置指令
$ --------------------地址计数器的当前值
PROC,ENDP -------------------- 过程定义语句
NAME,TITLE,END -------------------- 程序开始结束语句
MACRO,ENDM --------------------宏定义指令
XLAT (TRANSLATE) -------------------- 换码指令----
条件标志
ZF 零标志 -- 当结果为负时,SF=1,否则,SF=0.
AF 辅助进位标志---运算过程中第三位有进位值,置AF=1,否则,AF=0
PF 奇偶标志------当结果操作数中偶数个"1",置PF=1,否则,PF=0
SF 符号标志----当结果为负时,SF=1;否则,SF=0.溢出时情形例外
CF 进位标志----- 最高有效位产生进位值,例如,执行加法指令时,MSB有进位,置CF=1;否则,CF=0.
OF 溢出标志-----若操作数结果超出了机器能表示的范围,则产生溢出,置OF=1,否则,OF=0
OllyDbg 常用快捷热键
打开一个新的可执行程序 (F3)
重新运行当前调试的程序 (Ctrl+F2)
当前调试的程序 (Alt+F2)
运行选定的程序进行调试 (F9)
暂时停止被调试程序的执行 (F12)
单步进入被调试程序的 Call 中 (F7)
步过被调试程序的 Call (F8)
跟入被调试程序的 Call 中 (Ctrl+F11)
跟踪时跳过被调试程序的 Call (Ctrl+F12)
执行直到返回 (Ctrl+F9)
显示记录窗口 (Alt+L)
显示模块窗口 (Alt+E)
显示内存窗口 (Alt+M)
显示 CPU 窗口 (Alt+C)
显示补丁窗口 (Ctrl+P)
显示呼叫堆栈 (Alt+K)
显示断点窗口 (Alt+B)
打开调试选项窗口 (Alt+O)
F9 使用方法:
Ctrl+F9 运行至ret
Alt+F9 运行至上层调用的下句
Shift+F9 忽略异常运行
BTW:Ollydbg.hlp有中文翻译版为何不看?
Shift+F9 - 与F9相同,但是如果被调试程序发生异常而中止,调试器会首先尝试执行被调试程序指定的异常处理(请参考忽略
Kernel32中的内存非法访问)。
Ctrl+F9 - 执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的,所
以速度可能会慢一些。按Esc键,可以停止跟踪。
Alt+F9 - 执行直到返回到用户代码段,跟踪程序直到指令所属于的模块不在系统目录中,在此期间不进入子函数也不更新CPU数据。
因为程序是一条一条执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。
F9 - 让程序继续执行。
Shift+F9 - 与F9相同,但是如果被调试程序发生异常而中止,调试器会首先尝试执行被调试程序指定的异常处理(请参考忽略Kernel32中的内存非法访问)。
Ctrl+F9 - 执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。
Alt+F9 - 执行直到返回到用户代码段,跟踪程序直到指令所属于的模块不在系统目录中,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。
Ctrl+F11 -Run跟踪步入,一条一条执行命令,进入每个子函数调用,并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。
F12 - 停止程序执行,同时暂停被调试程序的所有线程。请不要手动恢复线程运行,最好使用继续执行快捷键或菜单选项(像 F9)。
Ctrl+F12 - Run跟踪 步过,一条一条执行命令,但是不进入子函数调用,,并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。
Esc - 如果当前处于自动运行或跟踪状态,则停止自动运行或跟踪;如果CPU显示的是跟踪数据,则显示真实数据。
Alt+B - 显示断点窗口。在这个窗口中,您可以编辑、删除、或跟进到断点处。
Alt+C - 显示CPU窗口。
Alt+E - 显示模块列表[list of modules]。
Alt+K - 显示调用栈[Call stack]窗口。
Alt+L - 显示日志窗口。
Alt+M - 显示内存窗口。
Alt+O - 显示选项对话框[Options dialog]
Ctrl+P - 显示补丁窗口。
Ctrl+T - 打开 暂停 Run跟踪 对话框
Alt+X - 关闭 OllyDbg。
大多数窗口都支持以下的键盘命令:
Alt+F3 - 关闭当前窗口。
Ctrl+F4 - 关闭当前窗口。
F5 - 最大化当前窗口或将当前窗口大小改为正常化。
F6 - 切换到下一个窗口。
Shift+F6 - 切换到前一个窗口。
F10 - 打开与当前窗口或面板相关的快捷菜单。
左方向键 - 显示窗口左方一个字节宽度的内容。
Ctrl+左方向键 - 显示窗口左方一栏的内容。
右方向键 - 显示窗口右方一个字节宽度的内容
Ctrl+右方向键 - 显示窗口右方一栏的内容
页:
[1]