第2章 动态分析技术
动态分析技术中最重要的工具是调试器,分为用户模式和内核模式两种类型。用户模式调试器是指用来调试用户模式应用程序的调试器,它们工作在Ring 3级,如OllyDbg、Visual C++等编译器自带的调试器。内核模式调试器是指能调试操作系统内核的调试器,它们处于CPU和操作系统之间,工作在Ring 0级,如SoftICE等。
2.1 OllyDbg调试器
OllyDbg(简称OD)是由Oleh Yuschuk(www.ollydbg.de)编写的一款具有可视化界面的用户模式调试器,可以在当前各种Windows版本上运行,但NT的系统架构更能发挥OllyDbg强大功能。OllyDbg结合了动态调试和静态分析,具有GUI界面,非常容易上手,并且对异常的跟踪处理相当灵活,这些特性使得OllyDbg成为调试Ring 3级程序的首选工具。它的反汇编引擎很强大,可识别数千个被C和Windows频繁使用的函数,并能将其参数注释出。它会自动分析函数过程、循环语句、代码中的字符串等。此外,开放式的设计给了这个软件很强的生命力,爱好者不断地修改、扩充OllyDbg,脚本执行能力和开放插件接口使得其变得越来越强大。
|
安全中国首页 > 文章中心 > 基础知识