逆向动态调试工具简介

常用逆向工具简介：

二进制尽管属于底层知识，但是还是离不开一些相应工具的使用，今天简单介绍一下常用的逆向工具OD以及他的替代品x96dbg，这种工具网上很多，也可以加群找老满（184979281）：

这俩款工具都是动态调试工具，使用方式也大致相同，唯一区别的OD属于经典款，各种功能插件及其全面好用，唯一不足就是没有64位版本，而x96dbg分x32dbg和x64dbg，支持64位，但是他的插件没有OD那么完善。我们用Visual Studio 2019编写一个demo，拖入OD中分析（32位）：

#include
#include
char a[] = "https://www.vultop.com/";
int main(int argc, char* argv[])
{
    printf("%s", a);
    system("pause");
    return 0;
}

在这我们简单说一下OD主要使用的快捷键以及界面功能：

常用调试指令：

常用到的就是F7单步步入，比如走到一个call指令，F7会跟进call内部函数，F8单步步过则会跳过call内函数，执行到call下一行，F4是运行到当前光标位置，F9是让程序运行，Ctrl+F9是执行到当前call的返回地方ret指令。

断点类型：

int 3断点：F2键或者双击要下断点的代码的硬编码地方，当前代码会被暂时修改为int 3断点；

硬件断点：可以下四个硬件断点，DR0-DR3，记录四个地址；

内存断点：修改当前位置的内存属性，达到触发异常的目的。

接下来介绍一下主界面：

随后我们可以简单的通过俩种方式找到我们的主函数：

第一种，查找字符串：

可以看到我们打印的字符串，双击过去，到了我们的主函数中打印函数这里：

随后我们在这里F2下断点，然后F9就可以到我们的主函数这里：

单步走过printf函数，就可以看到控制台打印：

第二种找到主函数方法，根据VS编译器特征：

F8走过jmp，然后F7进入第一个call：

然后找到这一坨特征，进第二个call：

然后走第四个call：

走过一个jmp，就到了主函数这里：

接下来我们把demo改成64位，拖入x64dbg，大同小异，和OD用法基本一样：