OllyICE v1.10 修改版 [2007.9.21],修正Themida 1.9.x检测的Anti
作者:kanxue
来源:看雪软件安全论坛
OllyICE v1.10 修改版 [2007.9.21]
由于OllyDBG 1.1( http://www.ollydbg.de )官方很长一段时间没更新,故一些爱好者对OllyDBG修改,新增了一些功能或修正一些bug,OllyICE就是其中的一个修改版,取名OllyICE只是便于区分,其实质还是OllyDBG,版权归OllyDBG官方所有。
更新历史
2007.9.21
1.修正Themida v1.9.x.x检测OllyICE的Anti,配合HideToolz即可调试Themida v1.9.3.0以前版的加壳程序。修正过程:
1)将如下字符CPU,改成任意字符,如ICE。
000B2760 7273 0043 5055 202D 2000 5255 4E20 B8FA rs.CPU – .RUN ..
000B2770 D7D9 2025 692E 20B2 BDBD F825 7320 B7B5 .. %i. ….%s ..
2)将如下字符OllyICE,改成任意字符。
000C0890 004F 6C6C 7949 4345 0041 7267 756D 656E .OllyICE.Argumen
000C08A0 745B 2569 5D00 4172 6775 6D65 6E74 73 t[%i].Arguments
2.修正快捷键的一个bug
指令:
push 401000
修正按Shift+回车键时,不能跳到代码窗口中401000的bug
================================================================================
2007.2.16
1.将OllyDBG类标识改掉了,一些软件会通过这个检测OD(下面是OllyDBG主程序,1212121就是类名)。
000B6000 6E69 0049 434F 5F41 4141 4D41 494E 004D ni.ICO_AAAMAIN.M
000B6010 4149 4E4D 454E 5500 3132 3132 3132 3100 AINMENU.1212121.
2.优化了快捷键功能相关代码,去除了一个小bug。
================================================================================
2006.11.30
cao_cong修正了汉化版线程显示的错误
(详见http://bbs.pediy.com/showthread.php?s=&threadid=35679)
================================================================================
2006.11.16
1.感谢dreaman修复Findlabel,Findname,Findnextname三个函数处理字符串会溢出的bug。
(详见:http://bbs.pediy.com/showthread.php?s=&threadid=33102)
2.改善sprintf函数显示某些浮点数会崩溃的bug(Themida 1.8.2.0以上版本利用此bug Anti-OD),这里的修复代码直接引用heXer的代码。
(详见:http://bbs.pediy.com/showthread.php?s=&threadid=33621)
================================================================================
2006.10.15
感谢DarkBul告知SHIFT+F2条件窗口显示的bug及修复。
当在OD反汇编窗口按SHIFT+F2(或选择右键菜单->断点->条件)改变原条件断点时,设置条件断点的对话框会将原来的条件前加上0x14个字节。
================================================================================
2006.6.21
OllyICE.exe 和OLLYDBG.EXE新增实用的快捷键功能
================================================================================
2006.2.8
1. cao_cong修正了一些汉化错误。
2. 为Ollydbg增加二进制复制/二进制粘贴功能,对应的快捷键是:
Ctrl+Shift+C 二进制复制
Ctrl+Shift+V 二进制粘
================================================================================
2006.2.11
cao_cong修正了一些汉化错误:
原来几个翻译为了保证不出bug,使用了空格填充以保证字串位置。今天发觉在菜单上显示时因加了空格比较难看,把原来汉化的部分内容恢复
为英文,中文菜单作一下挪移汉化,使菜单上中文显示看起来舒服一点。
快捷键命令
这些快捷键命令原版OllyDBG中没有,是OllyICE后加上去的,相信会大大提高操作的方便性。
1).二进制复制/粘贴快捷键
反汇编窗口:Shift+C/Shift+V
数据窗口:Shift+C/Shift+V
注意:数据窗口中,Shift+V时,不必选择块大小,会将剪粘板的数据全部粘贴上去。
2).查看数据
push A480033 //如果按回车键,则数据窗口中显示A480033数据,此行按Shift+回车键,即可跳到A480033地址;
mov eax,401000 //此行按回车,则数据窗口中显示401000 数据
mov eax,[401000] //此行按回车,则数据窗口中显示401000 数据
mov [ebp-4], esp //此行按回车,则数据窗口中显示ebp-4的值(注意EIP必须指向当前行)
mov eax, [esp+10]//此行按回车,则数据窗口中显示esp+10的值(注意EIP必须指向当前行)
3).数据窗口查看数据 (来源于heXer)
数据窗口:
00406000 00 10 40 00 00 00 00 00 00 00 00 00 CA 2E 40 00 .@………?@.
^
光标移到“00 10 40 00”第一字节00处,按回车,反汇编窗口显示401000;Shift+回车,数据窗口显示401000
4).堆栈窗口 (来源于heXer)
0012FF44 00401D8A //按回车,反汇编窗口显示0401D8A;Shift+回车,数据窗口显示0401D8A
0012FF48 00000000
5).数据窗口选择数据显示
当光标在数据窗口移动时,会显示出光标起始地址、结束地址,以及选中的块大小。
6).数据窗口切换到代码窗口
00406000 00 12 40 00 00 00 00 00 00 00 00 00 CA 2E 40 00 .@………?@.
^
光标移到“00 12 40 00”第一字节00处,按Ctrl+双击鼠标,则反汇编窗口显示00401200开始的代码
7).反汇编窗口或数据窗口取当前地址
快捷键:ctrl+X
例如:
004091C0 push ebp
004091C1 mov ebp, esp
004091C3 push -1 //此行按快捷键ctrl+X ,则将地址004091C3复制到剪粘板里
数据窗口同样操作。
0040DD40 55 8B EC 83 EC 08 53 56 57 55 FC 8B 5D 0C 8B 45 U
快捷键命令增加:kanxue
感谢heXer,CoDe_Inject给与的帮助与提示!
介绍
OllyICE.EXE与OLLYDBG.EXE同时做了如下修改:
1.窗口、类名等常见修改;
2.格式化字符串的漏洞[OutPutDebugString]补丁;
3.参考dyk158的ODbyDYK v1.10 ,自动配置UDD、PLUGIN为绝对路径;
4.参考nbw的"OD复制BUG分析和修正"一文,修正从内存区复制数据时,有时无法将所有的数据都复制到剪贴板的bug。
5.参考ohuangkeo“不被OD分析原因之一和修补方法”,稍改进了OD识别PE格式能力(可能仍报是非PE文件,但己可调试了)。
6.修正OllyScript.dll插件bpwm命令内存读写都中断的问题。
7.jingulong的Loaddll.exe,可以方便让OllDbg中断在dll的入口。
8.感谢DarkBul告知SHIFT+F2条件窗口显示的bug及修复。
9.感谢dreaman修复Findlabel,Findname,Findnextname三个函数处理字符串会溢出的bug。
10.改善sprintf函数显示某些浮点数会崩溃的bug,这里的修复代码直接引用heXer的代码。
11.该修改版,配合HideOD插件,可以很好地隐藏OD。
12.新增实用的快捷键功能
13.修正Themida v1.9.x.x检测OllyICE的Anti,配合HideToolz即可调试Themida v1.9.x.x加壳程序
注意:隐藏OD的工具HideToolz,压缩包里己提供,目录:\tools\HideToolz\HideToolz.exe
HideToolz使用注意事项见OllyICE.chm。
看雪学院
看雪软件安全论坛
http://www.pediy.com
http;//bbs.pediy.com
2007.9.21