Ollydbg 在逆向工程 AoneVideo2AudioConverter 时找不到所有引用的字符串

逆向工程 拆卸 ollydbg 可执行 补丁反转
2021-06-30 16:17:54

我下面这个逆向工程的教程。在我“搜索所有引用的字符串”的步骤中,我得到一个窗口,如下所示:

在此处输入图片说明

当与该步骤的教程中的图像进行比较时,我发现我的窗口的列标题是:地址命令注释,根据教程,它应该是:地址反汇编文本字符串(教程中没有看到)但我在发这篇文章之前先上网)。

我正在使用 Windows 8.1。我在 Windows 7 和 Windows XP SP3 的兼容模式下以管理员身份运行 Ollydbg,使用 Ollydbg 1.10 和 2.0,但我得到了相同的结果。加载的模块也是正确的(不是 ntdll)。exe 版本是一个不同的版本,但我安装了它,新版本的整体功能仍然相同 - 给出完全相同的无效注册错误消息。

我在这里做错了什么/错过了什么?这可能是什么原因,我该如何克服?

3个回答

可能性:

  1. 也许正如@Guntram Blohm 所说,保护已经改变了。
  2. 你检查过你的 OllyDBG 版本吗?我想这个问题可能是因为你的版本不支持操作系统架构,或者更具体地说,它没有合适的插件。

建议:

  • 尝试使用 OllyDBG 的“R4ndoms_OllyDBG” mod...它与 Win 7/8 x86/x64 兼容。
  • 不要追求字符串,尝试追求 api(您认为它正在实现),或者您可以查看堆栈。
  • 使用其他调试器,如 x64dbg 或 IDA Pro。

有很多方法可以向调试器隐藏字符串。运行时的简单加密可能会让新的逆向人员望而却步。

试试这个插件有时它有助于找到 Ollydbg 没有显示的字符串:

https://tuts4you.com/download.php?view.107

如果还使用 Ultra 字符串引用你没有得到结果,在调试器中运行软件,然后在内存中搜索字符串,然后你可以内存断点该区域并了解软件在哪里使用它以及是否有加密可以破解.

显示反汇编的窗口来自 ollydbg 版本1.10
显示您正在查看的命令窗口来自 ollydbg 2.01

在此处输入图片说明

其它你可能感兴趣的问题
上一篇比Themida强? 下一篇转储加载到内存中的文件