StrongOD快捷键说明及其例子

现在的位置: 首页 > 综合 > 正文

StrongOD快捷键说明及其例子

2013年02月16日 ⁄ 综合 ⁄ 共 12912字 ⁄ 字号小中大 ⁄ 评论关闭

1.快捷键说明

DUMP窗口快捷键功能

-------------------------------------------------------------------------------------------
1：在DUMP窗口按“CTRL + 鼠标双击”，表示在ASM窗口显示选中的第一个字节开始地址的代码
2：DUMP窗口按“CTRL +ENTER”表示复制从选中的第一个字节开始的一个DWORD值到剪贴板
3：DUMP窗口按“ENTER”时，表示在DUMP跟随选中的第一个字节开始的DWORD值
4：按“ESC”键，等于按小键盘的减号“-”，即显示上一个记忆地址
5：按“~”键，等于按小键盘的减号“+”，即显示下一个记忆地址
6：按“INSERT”键，等于把DUMP窗口选中的数据填写为“00”
7：按“DELETE”键，等于把DUMP窗口选中的数据填写为“90”
8：按“Shift+C”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有一个空格）
9：按“Shift+X”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有无空格）
10：按“Shift+V”键，把剪贴板中的二进制代码粘贴到指定的起始地址中（只需要选中起始地址即可）
11：按“Ctrl+X”键，把选中的第一个字节的地址复制到剪贴板中
12：按“T”键，在ASM窗口中跟随选中的第一个字节开始的DWORD值，然后把DUMP窗口光标移动到下一个DWORD
13：按 “alt+1 ~ alt+5”，对应多个内存窗口的快速切换
14：当鼠标在DUMP窗口移动时，在OLLYDBG的信息提示条中显示DUMP窗口选中区域的信息（ Start：End：Size：Value）
15：按“Shift + ENTER”键，在ASM窗口中跟随选中的第一个字节开始的DWORD值

Asm窗口快捷键
-------------------------------------------------------------------------------------------
1：在ASM窗口按“CTRL + 鼠标双击”或者“CTRL + ENTER”，表示在DUMP窗口显示选中的第一个字节开始地址的代码
2：在ASM窗口按“ ENTER”键，有两种选择情况
   (1)：当只有寄存器和内存地址的指令中，在DUMP窗口显示内存地址
   (2)：当有内存地址和立即数同时存在的指令中，在DUMP窗口跟随立即数
3：在ASM窗口按“ALT + ENTER”，有3种选择情况
   (1)：当为跳转指令（jmp, call,retn）时，DUMP跟随到目的地址
   (2)：当有内存地址和立即数同时存在的指令中，在DUMP窗口跟随内存地址
4：在ASM窗口按“Shift + ENTER”，有3种选择情况
   (1)：当为跳转指令（jmp, call,retn）时，ASM窗口跟随到跳转目的地址
   (2)：当只有内存地址或者立即数中的一个存在的指令，在ASM窗口跟随内存地址或立即数
   (3)：当有内存地址和立即数同时存在的指令，在ASM窗口跟随立即数
5：按“ESC”键，等于按小键盘的减号“-”，即显示上一个记忆地址
6：按“~”键，等于按小键盘的减号“+”，即显示下一个记忆地址
7：按“INSERT”键，等于把ASM窗口选中的数据填写为“00”
8：按“DELETE”键，等于把ASM窗口选中的数据填写为“90”
9：按“Shift+C”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有一个空格）
10：按“Shift+X”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有无空格）
11：按“Shift+V”键，把剪贴板中的二进制代码粘贴到指定的起始地址中（只需要选中起始地址即可）
12：按“Ctrl+X”键，把选中的第一个字节的地址复制到剪贴板中
13：按数字键1--9，在选中地把填入相应的个数的“0x90”

STACK窗口快捷键
-------------------------------------------------------------------------------------------
1：按“ESC”键，在STACK窗口跟随到ESP指针处
2：按“~”键，在STACK窗口跟随到ESP指针处
3：STACK窗口按“CTRL +ENTER”在ASM窗口跟随选中第一个字节所在地址
4：STACK窗口按“ALT +ENTER”在DUMP窗口跟随选中第一个字节所在地址
5：STACK窗口按“Shift +ENTER”在DUMP跟随选中的第一个字节开始的DWORD值
6：STACK窗口按“ENTER”在ASM跟随选中的第一个字节开始的DWORD值
7：STACK窗口按 “alt +1”键，在STACK窗口跟随到ESP指针处
8：STACK窗口按 “alt +2”键，在STACK窗口跟随到EBP指针处
9：STACK窗口按 “alt +3”键，在STACK窗口跟随到NONE指针处

CPU REG窗口快捷键
-------------------------------------------------------------------------------------------
1：“ESC”和“`”键实现View FPU,View MMX,View 3D Now!,View Debug的快速切换.
2：“SHIFT+数字键1至8”(分别对应EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)将其内容显示在CPUASM窗口中
3：“CTRL+数字键1至8”(分别对应EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)将其内容显示在CPUDUMP窗口中

2.快捷键例子

DUMP窗口快捷键功能

-------------------------------------------------------------------------------------------
1：在DUMP窗口按“CTRL + 鼠标双击”，表示在ASM窗口显示选中的第一个字节开始地址的代码
0040399D 89 0D 78 6E 42 00 C1 E1 08 03 CA 89 0D 74 6E 42 ..xnB.玲..?.tnB
004039AD 00 C1 E8 10 A3 70 6E 42 00 6A 01 E8 8B 48 00 00 .凌.nB.j.?H..
004039BD 59 85 C0 75 08 6A 1C E8 C3 00 00 00 59 E8 9D 2F Y.纔.j.杳...Y铦/

按“CTRL + 鼠标双击”后ASM窗口显示下面数据
0040399D |. 890D 786E4200 mov     [426E78], ecx
004039A3 |. C1E1 08       shl     ecx, 8
004039A6 |. 03CA          add     ecx, edx
004039A8 |. 890D 746E4200 mov     [426E74], ecx
004039AE |. C1E8 10       shr     eax, 10
004039B1 |. A3 706E4200   mov     [426E70], eax
-------------------------------------------------------------------------------------------
2：DUMP窗口按“CTRL +ENTER”表示复制选中的第一个字节开始的DWORD值（6E780D89）到剪贴板

0040399D 89 0D 78 6E 42 00 C1 E1 08 03 CA 89 0D 74 6E 42 ..xnB.玲..?.tnB
004039AD 00 C1 E8 10 A3 70 6E 42 00 6A 01 E8 8B 48 00 00 .凌.nB.j.?H..
004039BD 59 85 C0 75 08 6A 1C E8 C3 00 00 00 59 E8 9D 2F Y.纔.j.杳...Y铦/
-------------------------------------------------------------------------------------------

3：DUMP窗口按“ENTER”时，表示在DUMP跟随选中的第一个字节开始的DWORD值

0041C214 C1 B6 80 7C C0 AD 80 7C 18 9C 80 7C F4 A0 80 7C ?.|?.|.?|?.|
0041C224 D6 BD 80 7C 9A 97 80 7C 86 97 80 7C A2 FE 80 7C ?.|?.|...|.?|
0041C234 4F FC 80 7C B7 CC 80 7C A9 BE 80 7C D5 9F 80 7C O?|.?|┚.|諢.|

在0041C214按“ENTER”后DUMP窗口显示下面数据

7C80B6C1 >8B FF 55 8B EC 83 7D 08 00 74 18 FF 75 08 E8 C0 ..U.?}..t..u.枥
7C80B6D1 29 00 00 85 C0 74 08 FF 70 04 E8 7D 2D 00 00 5D )...纓..p.鑮-..]
7C80B6E1 C2 04 00 64 A1 18 00 00 00 8B 40 30 8B 40 08 EB ?.d......@0.@.
-------------------------------------------------------------------------------------------

4：按“ESC”键，等于按小键盘的减号“-”，即显示上一个记忆地址
5：按“~”键，等于按小键盘的减号“+”，即显示下一个记忆地址
-------------------------------------------------------------------------------------------

6：按“INSERT”键，等于把DUMP窗口选中的数据填写为“00”
7：按“DELETE”键，等于把DUMP窗口选中的数据填写为“90”
-------------------------------------------------------------------------------------------

8：按“Shift+C”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有一个空格）
C1 B6 80 7C C0 AD 80 7C 18 9C 80 7C F4 A0 80 7C

9：按“Shift+X”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有无空格）
C1B6807CC0AD807C189C807CF4A0807C

10：按“Shift+V”键，把剪贴板中的二进制代码粘贴到指定的起始地址中（只需要选中起始地址即可）
-------------------------------------------------------------------------------------------

11：按“Ctrl+X”键，把选中的第一个字节的地址复制到剪贴板中

0041C214 C1 B6 80 7C C0 AD 80 7C 18 9C 80 7C F4 A0 80 7C ?.|?.|.?|?.|
0041C224 D6 BD 80 7C 9A 97 80 7C 86 97 80 7C A2 FE 80 7C ?.|?.|...|.?|

按“Ctrl+X”键，把7C80B6C1复制到剪贴板中
-------------------------------------------------------------------------------------------

12：按“T”键，在ASM窗口中跟随选中的第一个字节开始的DWORD值，然后把DUMP窗口光标移动到下一个DWORD

0041C000 >E7 EB DA 77 F4 EA DA 77 1B C4 DC 77 1B 76 DA 77 珉趙絷趙.能w.v趙
0041C010 >4A CF DB 77 F0 6B DA 77 00 00 00 00 CF 65 17 5D J羡w餶趙....蟚.]
0041C020 00 00 00 00 36 8B EF 77 70 8A EF 77 70 5B EF 77 ....6.飛p婏wp[飛

按“T”键，在ASM窗口中看到下面数据，光标自动从0041C000移动到0041C004

77DAEBE7 > 6A 2C           push    2C
77DAEBE9    68 28EDDA77     push    77DAED28
77DAEBEE    E8 267DFFFF     call    77DA6919
77DAEBF3    33DB            xor     ebx, ebx
77DAEBF5    895D E4         mov     [ebp-1C], ebx
77DAEBF8    817D 08 0400008>cmp     dword ptr [ebp+8], 80000004
-------------------------------------------------------------------------------------------

13：按 “alt+1 ~ alt+5”，对应多个内存窗口的快速切换
14：当光标在DUMP窗口移动时，在OLLYDBG的信息提示条中显示DUMP窗口选中区域的信息（ Start：End：Size：Value）
-------------------------------------------------------------------------------------------

15：按“Shift + ENTER”键，在ASM窗口中跟随选中的第一个字节开始的DWORD值

按“Shift + ENTER”键，在ASM窗口中看到下面数据

按按“CTRL + 鼠标双击”或者“CTRL + ENTER”后DUMP窗口显示下面数据

2：在ASM窗口按“ ENTER”键，有两种选择情况

一：当只有寄存器和内存地址的指令中，在DUMP窗口显示内存地址

004039B1 |. A3 706E4200 mov [426E70], eax //在这行按“ ENTER”键

在DUMP窗口显示

00426E70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00426E80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00426E90 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

二：当有内存地址和立即数同时存在的指令中，在DUMP窗口跟随立即数

0040399D C705 786E4200>mov dword ptr [426E78], 00421234 //在这行按“ ENTER”键

在DUMP窗口显示

00421234 72 73 74 46 69 6C 65 41 00 00 63 00 44 75 70 6C rstFileA..c.Dupl
00421244 69 63 61 74 65 48 61 6E 64 6C 65 00 F7 00 47 65 icateHandle...Ge
00421254 74 43 75 72 72 65 6E 74 50 72 6F 63 65 73 73 00 tCurrentProcess.

注意：当内存地址和立即数其中一个的内存数据不存在的话，ENTER键能智能选择另外一种数据在DUMP窗口跟随

例如
0040399D C705 786E4200>mov dword ptr [426E78], 123 //在这行按“ ENTER”键

因为[123]的内存数据不存在，随意按ENTER键后，strongOD能智能地选择[426E78]跟随

00426E78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00426E88 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00426E98 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

-------------------------------------------------------------------------------------------

3：在ASM窗口按“ALT + ENTER”，有2种选择情况

一：当为跳转指令（jmp, call,retn）时，DUMP跟随到目的地址

004039C0 |. /75 08 jnz short 004039CA //在这行按“ALT + ENTER”

DUMP窗口显示
004039CA E8 9D 2F 00 00 85 C0 75 08 6A 10 E8 B2 00 00 00 铦/...纔.j.?...
004039DA 59 33 F6 89 75 FC E8 A7 46 00 00 FF 15 DC C0 41 Y3?u....芾A
004039EA 00 A3 98 85 42 00 E8 65 45 00 00 A3 60 6E 42 00 .?.B.鑕E..nB.

二：当有内存地址和立即数同时存在的指令中，在DUMP窗口跟随内存地址

004039A7 C705 746E4200>mov dword ptr [426E74], 00411200 //在这行按“ALT + ENTER”

DUMP窗口显示
00426E74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00426E84 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00426E94 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

-------------------------------------------------------------------------------------------

4：在ASM窗口按“Shift + ENTER”，有3种选择情况

一：当为跳转指令（jmp, call,retn）时，ASM窗口跟随到跳转目的地址

004039B8 E8 8B480000 call 00408248 //在这行按“Shift + ENTER”

ASM窗口显示
00408248 /$ 33C0          xor     eax, eax
0040824A |. 6A 00         push    0
0040824C |. 394424 08     cmp     [esp+8], eax
00408250 |. 68 00100000   push    1000

二：当只有内存地址或者立即数中的一个存在的指令，在ASM窗口跟随内存地址或立即数

00408261 |. A3 5C824200 mov [42825C], eax //在这行按“Shift + ENTER”
00408266 B8 5C824200 mov eax, 0042825C //在这行按“Shift + ENTER”

ASM窗口显示
0042825C    0000            add     [eax], al
0042825E    0000            add     [eax], al
00428260    0000            add     [eax], al
00428262    0000            add     [eax], al

三：当有内存地址和立即数同时存在的指令，在ASM窗口跟随立即数

00408261 C705 5C824200>mov dword ptr [42825C], 00421680 //在这行按“Shift + ENTER”

ASM窗口显示
00421680    0000            add     [eax], al
00421682    F0:0047 65      lock add [edi+65], al
00421686    74 43           je      short 004216CB
00421688    6C              ins     byte ptr es:[edi], dx
-------------------------------------------------------------------------------------------

5：按“ESC”键，等于按小键盘的减号“-”，即显示上一个记忆地址
6：按“~”键，等于按小键盘的减号“+”，即显示下一个记忆地址
-------------------------------------------------------------------------------------------

7：按“INSERT”键，等于把ASM窗口选中的数据填写为“00”
8：按“DELETE”键，等于把ASM窗口选中的数据填写为“90”
-------------------------------------------------------------------------------------------

9：按“Shift+C”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有一个空格）
C1 B6 80 7C C0 AD 80 7C 18 9C 80 7C F4 A0 80 7C

10：按“Shift+X”键，把选中的区域的二进制代码复制到剪贴板中（两个字节之间有无空格）
C1B6807CC0AD807C189C807CF4A0807C

11：按“Shift+V”键，把剪贴板中的二进制代码粘贴到指定的起始地址中（只需要选中起始地址即可）
-------------------------------------------------------------------------------------------

12：按“Ctrl+X”键，把选中的第一个字节的地址复制到剪贴板中

1000481A mov dword ptr ds:[10001000],40304C //在这行按“Ctrl+X”键

按Ctrl+X，则地址01000481A 复制到剪贴板
-------------------------------------------------------------------------------------------

13：按数字键1--9，在选中地把填入相应的个数的“0x90”

0040397F      53            push    ebx
00403980      56            push    esi    //选中这行，按“2”
00403981      57            push    edi
00403982      8965 E8       mov     [ebp-18], esp

在ASM窗口中得到

0040397F      53            push    ebx
00403980      90            nop
00403981      90            nop
00403982      8965 E8       mov     [ebp-18], esp
-------------------------------------------------------------------------------------------

STACK窗口快捷键

-------------------------------------------------------------------------------------------
1：按“ESC”键，在STACK窗口跟随到ESP指针处
2：按“~”键，在STACK窗口跟随到ESP指针处

3：STACK窗口按“CTRL +ENTER”在ASM窗口跟随选中第一个字节所在地址

0012FFC4   7C816FF7   //这行按“CTRL +ENTER”
0012FFC8   7C930738
0012FFCC   FFFFFFFF

ASM窗口得到
0012FFC4    F76F 81         imul    dword ptr [edi-7F]
0012FFC7 - 7C 38           jl      short 00130001
0012FFC9    07              pop     es
-------------------------------------------------------------------------------------------

4：STACK窗口按“ALT +ENTER”在DUMP窗口跟随选中第一个字节所在地址

0012FFC4   7C816FF7   //这行按“ALT +ENTER”
0012FFC8   7C930738
0012FFCC   FFFFFFFF

DUMP窗口得到

0012FFC4 F7 6F 81 7C 38 07 93 7C FF FF FF FF 00 50 FD 7F .o.|8..|.....P?
0012FFD4 B8 C5 54 80 C8 FF 12 00 08 D6 72 81 FF FF FF FF .臫.?...謗.....
0012FFE4 30 9A 83 7C 00 70 81 7C 00 00 00 00 00 00 00 00 0?|.p.|........
-------------------------------------------------------------------------------------------

5：STACK窗口按“Shift +ENTER”在DUMP跟随选中的第一个字节开始的DWORD值

0012FFC4   7C816FF7   //这行按“Shift +ENTER”
0012FFC8   7C930738
0012FFCC   FFFFFFFF

DUMP窗口得到
7C816FF7 50 E8 7B 50 FF FF 90 90 90 FF FF FF FF B2 37 84 P鑬P..........7.
7C817007 7C C8 37 84 7C 90 90 90 90 90 8B FF 55 8B EC 81 |?.|.......U.?
7C817017 EC C8 00 00 00 A1 CC 46 88 7C 53 56 8B 75 0C 57 烊....蘁.|SV.u.W
-------------------------------------------------------------------------------------------

6：STACK窗口按“ENTER”在ASM跟随选中的第一个字节开始的DWORD值

0012FFC4   7C816FF7   //这行按“Shift +ENTER”
0012FFC8   7C930738
0012FFCC   FFFFFFFF

ASM窗口得到
7C816FF7    50              push    eax
7C816FF8    E8 7B50FFFF     call    ExitThread
7C816FFD    90              nop
7C816FFE    90              nop
-------------------------------------------------------------------------------------------

7：STACK窗口按 “alt +1”键，在STACK窗口跟随到ESP指针处
8：STACK窗口按 “alt +2”键，在STACK窗口跟随到EBP指针处
9：STACK窗口按 “alt +3”键，在STACK窗口跟随到NONE指针处
-------------------------------------------------------------------------------------------

CPU REG窗口快捷键

1：“ESC”和“`”键实现View FPU,View MMX,View 3D Now!,View Debug的快速切换.
2：“SHIFT+数字键1至8”(分别对应EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)将其内容显示在CPUASM窗口中
3：“CTRL+数字键1至8”(分别对应EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI)将其内容显示在CPUDUMP窗口中
-------------------------------------------------------------------------------------------

【上篇】WINCE6.0远程桌面显示修改
【下篇】学习生活要远离它：模板方法模式

作者: optometry

该日志由 optometry 于11年前发表在综合分类下，最后更新于 2013年02月16日.
转载请注明: StrongOD快捷键说明及其例子 | 学步园 +复制链接

抱歉!评论已关闭.

学步园

StrongOD快捷键说明及其例子

作者: optometry

书签

最新文章New

本站推荐

返回首页