貌似是个新放出的OD插件^_
1、反混淆
比如遇到花指令或是什么的,可以在OD中先选中要反混淆的代码,然后单击插件命令中的“Deobfuscate”即可将代码还原。
2、单步反混淆
这个和上面的一样,只不过是一步步来的,不是选中所有一起反混淆。
3、把所有的NOP指令移到最底部
这个的意思就是说,一段代码中不同的地方有NOP指令,用这个命令可以把这段代码中所有的NOP放到此段代码的最底部;可以先选中该段代码,然后击插件命令中的“Move NOPs to bottom”即可。
例如原来代码是:
00874396 50 PUSH EAX
00874397 90 NOP
00874398 90 NOP
00874399 52 PUSH EDX
0087439A BA 3F976B00 MOV EDX,somesoft.006B973F
0087439F 90 NOP
008743A0 90 NOP
008743A1 90 NOP
执行该命令后变成:
00874396 50 PUSH EAX
00874397 52 PUSH EDX
00874398 BA 3F976B00 MOV EDX,somesoft.006B973F
0087439D 90 NOP
0087439E 90 NOP
0087439F 90 NOP
008743A0 90 NOP
008743A1 90 NOP
4、Undo / Redo
Undo取消上一次操作;redo恢复上一次操作。
5、Retrieve Jumpy function
这个东西是用来干啥的呢?比如在一段代码中有很多jmp指令跳来跳去,实际上执行的有效指令就那么几个,我们可以把这些jmp剔除,留下有用的,方便分析。有点类似于.net加密中的流程混淆后反混淆。
例子代码:
原来:
00874389 /EB 05 JMP SHORT somesoft.00874390
0087438B |43 INC EBX
0087438C |41 INC ECX
0087438D |42 INC EDX
0087438E |EB 07 JMP SHORT somesoft.00874397
00874390 \B8 07000000 MOV EAX,7
00874395 ^ EB F4 JMP SHORT somesoft.0087438B
00874397 C3 RET结果:
003B0000 B8 07000000 MOV EAX,7
003B0005 43 INC EBX
003B0006 41 INC ECX
003B0007 42 INC EDX
003B0008 C3 RET
具体操作,选中原来的代码,然后执行插件中的此命令即可。
6、Rebuild RSRC and Realign
这个是用来重建资源的,将文件载入OD后,直接执行插件中的此命令即可在软件目录生成重建后的文件。
7、AsProtect Unpacker
这个命令是用来脱AsProtect的壳的,建议无视它,还是用Volx的脚本更好^_
已经有(0)位网友发表了评论,你也评一评吧!
原创文章如转载,请注明:转载自Eddy Blog
原文地址:http://www.rrgod.com/technique/105.html 欢迎订阅Eddy Blog。
Tags:OD插件 CodeDoctor 使用方法