ODbgScript的介绍
调试程序,程序逆向工作,加密解密都存在大量的重复工作,ODbgScript就是一个让你从重复而又枯燥的
劳动中解脱的一个工具。OllyScript是OLLYDBG的一个功能增强插件(Plugin),OllyScript使用的脚本语言
是一个种类汇编的语言。你使用它来控制OLLYDBG和进行脚本运算。
它的内部机制是一种解释执行的方式,当然,大侠luocong开发了一个和这个功能相近的插件OM,所不同的
是OM是运行在虚拟机上的,而ODbgScript是解释执行。现在ODbgScript在世界上有大量的使用者和他们发布
了大量的脚本,你能好好的利用它。
ODbgScript帮助文档
OD脚本编写资料
OD脚本指令大全
可以使用“//”在任何地方进行注释。
块注释必须另外起一行并以 “”作为结束,“*/”也必须另起一行。
| 指令 | 全称 | 解释 | 示例 |
|---|---|---|---|
| 在后面的文档中, “源操作数” 和 “目的操作数”表示以下含义: - 十六进制常数,既没有前缀也没有后缀。 (例如:是00FF, 而不是 0x00FF 和 00FFh的形式) 十进制常数,在后缀中加点. (例如:100. 128.也可以是浮点数128.56,浮点数只能保留小数点后2位) - 变量,这个变量必须在使用前用Var进行定义 - 32位寄存器 (EAX, EBX, ECX, EDX, ESI, EDI, EBP, ESP, EIP)。 16位寄存器 (AX, BX, CX, DX, SI, DI, BP,SP) 8位的寄存器(AL, AH, … DL, DH) - 被中括号括起来的内存地址 (例如:[401000]指向内存地址为401000里存放分数据, [ecx] 指向内存地址为寄存器ecx里存放分数据). - 一个标志位,带有感叹号前缀(!CF, !PF, !AF, !ZF, !SF, !DF, !OF) - 字符串,也可叫数据序列。其格式为: #6A0000#(数值在两个“#”号之间),两个“#”号之间必须包含至少有一个数值。 “1234567ABCDEF” - 包含“?”通配符的字符串。比如 #6A??00# 或者 #6?0000# |
|||
| $RESULT | 保存某些函数的返回值,比如FIND函数运行后的结果,等等。 在ODbgScript的脚本调试窗口,你能观察到它的变化,并且可以修改它. |
||
| $VERSION | ODBGScript的版本信息,它是系统保留变量名. | 例: cmp $VERSION, “1.47” //比较是否大于 1.47版 ja version_above_147 |
|
| #INC “文件名” | 一个脚本文件包含另外一个脚本.就像调用子程序一样.两个脚本中的变量名不能相同. | 例: #inc “test.txt” |
|
| #LOG | 开始记录运行指令 指令会显示在OllyDbg 的log窗口中,每条记录前都会加上“—>”的前缀 |
例: #log |
|
| ADD | 源操作数与目的操作数相加,并把相加的结果保存到目的操作数中,支持字符串相加. | 例: add x, 0F //x=x+F add eax, x //eax=eax+x add [401000], 5 //[401000]=[401000]+5 浮点数相加 CMP 目的操作数, 源操作数 |
|
| AI | 在OllyDbg中执行“自动步入” [Animate into]操作。 相当于在OllyDbg中按下CTRL+F7 |
例: ai |
|
| ALLOC | 申请内存, 你能读/写/执行 | 例: alloc 1000 //新申请内存,大小为1000,返回结果$RESULT放着申请内存的开始地址. free $RESULT, 1000 |
|
| AN 地址 | 从指定地址处,对代码进行分析 | 例: an eip // 相当于在OllyDbg中按 Ctrl+A键 |
|
| AND 目的操作数, 源操作数 | 源操作数与目的操作数进行逻辑与操作,并将结果保存到到目的操作数中 | 例: and x, 0F //x=x&&f and eax, x //eax=eax&&x and [401000], 5 //[401000]=[401000]&&5 |
|
| AO |
相当于在OllyDbg中按下CTRL+F8 | 例:
ao |
| ASK 问题 |
$RESULT_1中放着输入的长度.
(注:程序将判读你输入的是字符,$RESULT_1的结果是输入字符数的数目,整型/2,中文数2) | 例:
ask “Enter new EIP”
cmp $RESULT, 0
je cancel_pressed
mov eip, $RESULT |
| ASM 地址, 指令 |
并将修改后的汇编指令长度保存到保留变量$RESULT中 | 例:
asm eip, “mov eax, ecx” //将当前指令修改为 mov eax,ecx |
| ASMTXT 文件 |
将汇编指令长度保存到保留变量$RESULT中
并将汇编指令行数保存到保留变量$RESULT_1中 | 例:
asmtxt EIP,”myasm.txt”//将myasm.txt文件中的asm转成opcode后写入EIP. |
| ATOI str [, base=16.] | | 转换字符串到16进制整型,[可以将任何进制转成16进制整型]
返回结果放到 $RESULT | 例:
itoa “F” //字符串”F”转成了整型,结果会等于F
itoa “10”, 10. //字符串”10”代表十进制,结果会等于A |
| BC 地址 |
bc 401000 //清除401000处的断点
bc x //清除X(变量值)处的断点
bc eip //清除当前EIP处的断点 |
| BP 地址 |
bp 401000 //在401000处下断点
bp x //在X(变量值)处下断点
bp eip //在当前EIP处下断点 |
| BPCND 地址, 条件 |
bpcnd 401000, “ECX==1” //当 代码执行到401000且 ecx等于1 时,程序暂停 |
| BPD 函数字符串 | | 清除调用函数断点,函数为字符串表示. | 例:
bpd “GetVersion” //取消呼叫GetVersion的断点 |
| BPHWC 地址 |
bphwc 401000 //清除 401000处的断点
bphwc //不接地址默认清楚全部 等同于bphwcall |
| BPHWCALL | | 清除所有的硬件断点 | 例:
BPHWCALL //清除所有的硬件断点 |
| BPHWS 地址, 模式 |
此断点只支持1个字节的动作. | 例:
bphws 401000, “x” //当执行到此地址时产生中断.
Bphws 401000,”r” //当读取401000的时候产生中断 |
| BPL 地址, 表达式 |
bpl 401000, “eax” // 每次执行到401000时,都将eax寄存器的结果记录 |
| BPLCND 地址, 表达式, 条件 |
bplcnd 401000, “eax”, “eax > 1” //如果执行到401000时,满足eax>1,则将eax寄存器的结果记录 |
| BPMC |
bpmc |
| BPRM 地址, 大小 |
bprm 401000, FF //在401000中设置内存读断点,内存中的大小为FF |
| BPWM 地址, 大小 |
bpwm 401000, FF //在401000中设置内存写断点,内存中的大小为FF |
| BPX 函数字符串 | | 设置调用函数断点,函数为字符串表示.
返回下了断点的地址数量,结果保存在保留变量$RESULT中. | 例:
bpx “GetVersion” //下呼叫GetVersion断点,断下的语句为call [xxxxx] |
| BUF var | string/dword variable to a Buffer | 转换字符串变量到缓冲区 | 例:
mov s, “123”
buf s
log s // output “#313233# |
| CMP 目的操作数, 源操作数 |
可以是各种数值,甚至可以是字符串(对大小不敏感). | 例:
cmp y, x //比较两个变量(Y和X)的大小,
cmp eip, 401000 //比较EIP和401000的大小
这里可以设置比较的数的长度 比如 cmp [eip],#ff25#,2 这里比较EIP所在的指令 前两个字节是否是FF25
测试代码如下:
00581DAC $- FF25 C0B55B00 jmp dword ptr [5BB5C0] |
| CMT 地址, 字符串 |
cmt eip, “这是入口” //当前地址处 加上“这是入口”的注释 |
| COB |
COB |
| COE |
(移除EOE指令) | 发生异常后,让脚本继续执行 | 例:
COE |
| DBH |
dbh |
| DBS |
dbs |
| DEC 变量 |
dec v //V=V-1 |
| DIV 目的操作数, 源操作数 |
div x, 0F //X=X/0F
div eax, x //eax=eax/x
div [401000], 5 //[401000]/5 | | DM 地址, 大小, 文件名 |
dm 401000, 1F, “c:\dump.bin” | | DMA 地址, 大小, 文件名 |
果指定文件已存在,则将数据追加到指定文件尾部。 | 例:
dma 401000, 1F, “c:\dump.bin” | | DPE 文件名, 入口 |
“入口”用来设定入口地址。
这个命令用来抓取文件,还是比较好用的,因为直接利用了OD强大的内存管理功能. | 例:
dpe “c:\test.exe”, eip //入口为当前地址,保存为C盘下test.exe | | EOB 标签 |
此功能和EOE命令常常让新手迷惑不解,其实就是遇见中断做脚本的流程转向.
如果还有不懂,请看下文的答疑解惑章节. | 例:
eob SOME_LABEL | | EOE 标签 |
eoe SOME_LABEL | | ESTI |
esti | | ESTO |
esto
一般来说用这个 不用F9多 因为Shift+F9 忽略异常运行 | | EVAL |
变量必须已经在脚本中声明。
注意:
插到字符串中时,要放在大括号{ }中。
结果保存在保留变量$RESULT中.
这句和其它语句结合将产生很多的变化,用好它将让你的脚本十分灵活. | 例:
var x
mov x, 1000
eval “x的值是 { x }” // 执行后$RESULT为 “x的值是00001000” | | EXEC/ENDE |
有这个命令就是你可以直接跳入进程,对进程进行直接控制.
它的原理就是取当前进程的信息进行保存,然后新分配一个代码内存区(可读/写/执行.大小1000)
调用OD汇编器将你的汇编语句转成OPcode,将OPcode拷贝到代码区,然后将EIP指向你的代码开头.
然后将控制权交给你.执行完后将EIP归还原位,然后将控制权交还ODbgScript.
这里的好处就是让你以很高的效率来避免在较慢的脚本环境运行需要高效的操作.
!注意:由于进程控制权交给你了,那么,你的代码有效性将只有你自己来控制了.
!注意:执行后不保存现场.这都需要你来做工作.(要保存现场,你可以使用pushad,popad)
有大括号的,会被大括号中的变量的值替代。 | 例:
// 以下是做移动操作
var x
var y
mov x, “eax”
mov y, “0DEADBEEF”
exec
mov {x},{y} //到进程中新开的代码区去,mov eax,0DEADBEEF 将被执行
mov ecx, {x} //mov ecx,eax 将被执行
ende
// 以下是调用调试程序的ExitProcess函数
exec
push 0
call ExitProcess
ende
ret | | FILL 地址,长度,值 | | 从地址addr开始填充长度为len的值value
!注:value的值最大8个字节,可以为寄存器值,标志位值,变量值,16进制值,10进制值,[]指针操作数. | 如:
fill 401000,10,90 //NOP 10h个字节
fill 401000,ff,[eax] //取出[eax]值,填充到401000,长度为ff
fill 401000,ff,$RESULT //将变量$RESULT的值填充到401000,长度为ff | | FIND 地址, 查找内容 ,[最大大小] |
如果查找成功,地址会保存到保留变量$RESULT中,否则$RESULT将等于 0。
查找的串支持通配符“??”(见下面的例子)。
##中的为HEX,””中的为字符串,什么都不带的为内存数据
!注:输入的16进制字符必须是成偶数
从1.52版开始支持直接变量和数据查找. | 例:
find eip, #6A00E8# // 查找一个Call,其的第一个参数为0 (push 0)
find eip, #6A??E8# // 查找一个带参数的Call,一个?代表一个字符常量
find eip,”kernel32.dll” //查找字符串”kernel32.dll”
find eip,”ker???32.d??” //查找带通配符的?字符串,一个?代表一个字符串常量
(请注意这里的通配符?和HEX中的?不同)
find eip,15ff //查找内存数据15ff(代码为ff115)
(mov tmp,#ff15#
find eip,tmp ) //查找变量tmp中的数值,tmp=ff15
(mov tmp,”kernel32.dll”
find eip,tmp ) //查找变量tmp中的字符串”kernel32.dll”
(mov tmp,15ff
find eip,tmp //查找变量tmp中的内存数据15ff(注意和#ff15#区别)
(ask “输入需要的数据”
find eip,$RESULT //输入的为#ff15#,”Kernel32.dll”,15ff就同上面三例子
find eip,#ff15#,ff //从EIP开始,FF大小范围内,查找字符ff15, | | FINDCMDS 地址, 查找内容 |
如果查找成功,地址会保存到保留变量$RESULT中,否则$RESULT将等于 0。
注:命令序列分割请使用;号(分号). | 例:
findcmd 401000, “push eax;mov eax,edx” // 寻找”push eax和mov eax,edx”命令序列 | | FINDOP 地址, 查找内容,[查找范围] |
如果查找成功,地址会保存到保留变量$RESULT中,否则$RESULT将等于 0。
查找的串支持通配符“??”(见下面的例子)。
注意:findop由于是opcode查找,不支持字符串查找.
findop和find的区别是findop查找到的必须是opcode.
1.52起支持直接变量和内存数据 | 例:
findop 401000, #61# // find next POPAD
findop 401000, #6A??# // find next PUSH of something
译者注:
对比一下FIND 和FINDDOP的区别:
地址 数据 代码
00401007 B8 3300 MOV EAX, 33
0040100C 33F6 XOR ESI,ESI
find 401007, #33# //$RESULT等于401008
finddop 401007, #33# //$RESULT等于40100C | | FINDMEM what [, StartAddr] | | 从整个内存开始在内存中查找指定的内容
如果查找成功,地址会保存到保留变量$RESULT中,否则$RESULT将等于 0。
查找的串支持通配符“??”(见下面的例子)。 | Example:
findmem #6A00E8# // find a PUSH 0 followed by some kind ofcall
findmem #6A00E8#, 00400000 // search it after address00400000
此命令查找十六进制的变量有为有效,因为Find不会把变量当然一个十六进制来查找。 | | FREE 地址 大小 | | 释放由ALLOC申请的内存. | Example:
alloc 1000
free $RESULT, 1000 | | GAPI 地址 | | 获得指定代码处的API调用信息
API信息保存到保留变量$RESULT中。
如果符号名是一个API函数,则
$RESULT保存API信息
$RESULT_1保存链接库名(比如 kernal32)
$RESULT_2保存符号名(比如 ExitProcess)。
$RESULT_3保存调用地址XXXX(比如 call xxxxx)
注意:这个和GN的区别是GN必须指向IAT地址
而GAPI直接给出代码地址就可得出API
还有如果你是在此处下了软件断点,请先清除断点再用此句,因为软件断点修改了代码为CC
这里如果不清除此处的软件断点,将造成这句不能很好的识别. | 例:
GAPI 401000 (callkernal32.ExitProcess)
GAPI EIP //查看当前代码是否是API调用,不是则返回0 | | GCMT 地址 | | 获得指定地址处的解释 | | | GCI 地址, 信息 | | 获得制定地址的汇编指令信息
“info”可以是:
-汇编指令字符串 例:gci eip,COMMAND
就象用OPCODE eip一样
-目标地址 ,例: gci eip,DESTINATION
用于jump/call/return指令
-命令长度,例: gci eip,SIZE
-类型, 例:gci eip,TYPE
-条件,例:gci eip,CONDITION
返回值:$RESULT
-得到指令目标地址(DESTINATION) | 比如 :
004B3DF0 0F85 D7010000 jnz 004B3FCD
EIP:004B3DF0
gci eip,DESTINATION
这里的$RESULT等于004B3FCD | | GMEMI 地址, 信息 | | 获得指定地址处内存的信息.
信息可以是 MEMORYBASE, MEMORYSIZE or MEMORYOWNER | Example:
GMEMI addr, MEMORYBASE // After this $RESULT is the address tothe memory base of the memory block to which addr belongs | | GMI 地址, 信息 |
“信息”可以是
MODULEBASE: 模块基地址(baseaddress of module in the memory space of debugged process)
MODULESIZE: 模块大小(totalsize occupied by module, not necessarily contiguous memory)
CODEBASE: 代码段基地址
CODESIZE: 代码段大小(size of executable code, as stays in COFFheader. In some cases, OllyDbg may correct definitely invalid codesize)
DATABASE: 数据段基地址
RESBASE: 资源段基地址
RESSIZE: 资源段大小
IDATATABLE: 输入表基地址(baseaddress of import data table, as stays in COFF header)
entry: 模块入口(ddressof module’s entry point, as stays in COFF header)
nsect: 节数目(Numberof sections in the module)
(如果您想在将来的版本中,获得更多的信息,请联系我)。
信息会保存到保留变量$RESULT中 (如果没有找到信息,则$RESULT等于0). | 例:
GMI eip, CODEBASE // 这条指令执行后,$RESULT等于当前所在模块的代码段基地址。 | | GN 地址 |
符号名将保存到保留变量$RESULT中。
如果符号名是一个API函数,则
$RESULT是符号名
$RESULT_1保存链接库名(比如 kernal32)
$RESULT_2保存符号名(比如 ExitProcess)。 | 例:
gn 450100 | | GO 地址 |
go 401005 | | GPA 函数名, 动态链接库名 |
如果查找成功,地址会保存到保留变量$RESULT中,否则$RESULT将等于 0。
在设置API函数断点时,这个指令非常有效。(API断点API) | 例:
gpa “MessageBoxA”, “user32.dll” //这条指令执行后,$RESULT等于函数MessageBoxA的地址,您可以
使用”bp $RESULT”设置断点。 | | HANDLE x, y, class | | 返回指定点(16进制)子窗口指定类的句柄 | | | INC 变量 |
inc v | | ITOA n [, base=16.] | | 转化一个整数到字符串
结果放在 $RESULT | Example:
itoa F
itoa 10., 10. | | JA 标签 |
ja SOME_LABEL | | JAE 标签 |
jae SOME_LABEL | | JB 标签 |
jb SOME_LABEL | | JBE 标签 |
jbe SOME_LABEL | | JE 标签 |
je SOME_LABEL | | JNE 标签 |
jne SOME_LABEL | | JMP 标签 |
jmp SOME_LABEL | | KEY vkcode [, shift [, ctrl]] | | 仿真按下键盘.
这个命令可以模仿OD中任意快捷键的功能
比如脚本ctrl+F2重新载入功能 就可以通过KEY 71,0,1来模拟
vkcode(虚拟键码)的具体值可以查询masm环境下的windows.inc文件
比如:
VK_F2 equ 71h
所以 模拟ctrl+f2 就是 KEY 71,0,1
这里的vkcode都是16进制的 | Example:
key 20
key 20, 1 //Shift+space
key 20, 0, 1 //Ctrl+space | | LBL 地址, 字符串 |
由于为了兼容以前的系统,请不要将A,B,C,D,E,F作为变量. | 例:
var tmp | | XOR 目的操作数, 源操作数 |
xor x, 0F
xor eax, x
xor [401000], 5 | | WRT file, data | | 写数据给文件 (覆盖) | Example:
wrt “out.txt”, “Data:\r\nOk\r\n”
wrt sFile, ebx | | WRTA file, data | | 附加数据到文件中(文件结尾) | Example:
wrta sFile, “hello world\r\n”
如果文件不存在 将会创建文件 | | IFA,IFAE,IFB,IFBE IFG,IFGE,IFL,IFLE IFEQ/IFNEQ..ELSE/ENDIF | | 这些命令是构建IF块的,类似于高级语言的语法,具体含义与汇编类似。 | Example:
ifneq $RESULT,0
ifa flg,$RESULT
mov flg,$RESULT
endif
endif |
详解如何写OD脚本,献给初学者的
详解OD脚本的写法续之进阶篇
若有收获,就点个赞吧
0 人点赞
