在逆向工程中,使用OllyDbg(简称OD)搜索二进制数据是常见的调试技巧。以下是具体方法及注意事项:
一、基础搜索方法
二进制字符串搜索
- 在反汇编窗口按 `Ctrl+F2`(或 `F9`)定位到目标函数(如 `call main`)后,使用 `Ctrl+F` 输入ASCII字符串(如“搜索利刃”)进行匹配。
- 若未找到精确匹配,可通过 `Ctrl+L` 查找下一个匹配项。
内存文本搜索(适用于已知明文数据)
- 在运行程序时,通过 `Ctrl+G` 跳转至内存地址,结合 `Ctrl+F` 搜索明文(如注册表字符串)。
- 适用于临时数据或配置信息,但需注意内存数据可能被覆盖。
二、高级搜索技巧
特征码定位
- 通过 `Ctrl+B` 搜索机器码特征(如 `call` 指令的 `E8` 指令序列)。
- 若直接搜索失败,需先在内存中搜索特征码(如 `cmp` 指令后的地址),再跳转至该地址分析。
跨段跳转检测
- 搜索 `jmp` 指令的机器码 `E9`,通过 `Ctrl+L` 跳转并分析跳转目标是否为OEP(原始入口点)。
- 对于复杂壳层,可结合 `call` 指令的跳转范围判断。
三、注意事项
搜索范围限制
- 直接在反汇编窗口搜索可能因代码段未执行而失败,需先定位到相关代码段再搜索。
- 建议从程序入口(如 `main` 函数)或疑似跳转点开始搜索。
断点与单步调试
- 设置断点(如 `call main`)后,使用 `F8` 单步执行,观察寄存器变化和内存状态。
- 结合内存访问断点(如 `cmp [esp], value`)定位具体操作。
工具辅助
- 使用插件(如中文搜索引擎)提高效率。
- 结合 `x64dbg` 等工具对比多版本二进制特征。
四、示例流程(以查找OEP为例)
1. 启动OD,附加目标程序。
2. 在 `call main` 处设置断点。
3. 执行程序至断点,使用 `Ctrl+F` 搜索 `call` 指令的机器码 `E8`。
4. 通过 `Ctrl+L` 跳转至匹配项,分析后续指令是否跳转至OEP(如 `jmp` 指令跨段跳转)。
5. 若未找到,切换到内存搜索,查找已知OEP附近的特征码。
通过以上方法,可系统化地搜索二进制数据,结合断点和单步调试提升效率。