3.1.2熟悉OD窗口

当被调试程序与调试器建立调试关系之后，就可以开始在OD中进行正式的动态调试分析。在OD中有很多的窗口，除了第2章介绍的CPU窗口外，还有其他许多FZ调试窗口，如记录窗口、状态窗口、信息窗口等。下面，笔者带领大家逐个认识OD中常用的窗口。
1．CPU窗口
CPU窗口是OD中的主窗口，所有调试工作都是在CPU窗口中完成的，因为CPU窗口可以反映当前CPU所执行的指令，查看寄存器的值、状态以及堆栈的结构。CPU窗口如图3-6所示。

CPU窗口已经在第2章介绍过了，也是读者已经熟悉了的窗口，在第2章时读者已经在CPU窗口的反汇编窗口中写了很多的汇编代码。这里在带领大家再回顾一下CPU窗口。
CPU窗口中有五个窗口，分别是反汇编窗口、寄存器窗口、栈窗口、数据窗口和信息窗口。
（1）反汇编窗口
反汇编窗口用于显示被调试程序的代码，搜索、分析、查找、修改、下断等与反汇编相关的操作，它有四个列，分别是地址列、十六进制数据列、反汇编代码列和注释列。
地址列：在该列的某个地址上进行双击，会显示其他地址与双击地址的相对位置，再次在该列上双击会恢复为标准的地址形式。
十六进制数据列：双击该列会在当前地址设置断点，再次单击会取消断点。
反汇编代码列：双击该列可以修改当前的汇编指令。该功能读者已经在第2章熟练使用。
（2）寄存器窗口
寄存器窗口用于显示和解释当前线程环境的CPU寄存器的内容与状态，并且可以通过双击寄存器的值来改变它的值。
（3）栈窗口
堆栈窗口用于显示当前的线程的栈，栈窗口随着ESP寄存器的变化而变化，栈窗口可以识别出堆栈框架、函数调用结构以及结构化异常处理结构。
栈窗口分为3列，分别是地址列、数值列和注释列。栈始终随着ESP寄存器在变化，不利于观察栈中的某个地址，因此单击“地址列”可以将栈窗口“锁定”，即栈窗口不会随ESP寄存器的变化而刷新窗口。
栈有两个较为重要的功能，一个是用于调用函数时的参数传递，另一个是函数内的局部变量的空间。在栈内获得数据时，往往是通过ebp寄存器或esp寄存器加偏移获得数据的，因此在栈窗口单击鼠标右键，在弹出的右键菜单中的“地址”菜单项中可以选择“相对于ESP”或“相对于EBP”两个选项，可以改变栈地址显示方式。
（4）数据窗口
数据窗口可以用多种显示格式显示内存中的数据。要查看指定内存地址的数据，可以通过Ctrl + G快捷键来输入要显示的地址。

注意：数据窗口同样可以显示栈窗口的数据和反汇编的数据，只是数据窗口是静态的，不会随软件的调试而更新显示数据窗口的内容。但是在修改大量数据或在内存中查看指定地址的数据时，还是很方便的。
（5）信息窗口
信息窗口用于解释反汇编窗口中的命令，比如解释当前出栈操作的栈地址、栈中的值、当前寄存器的值、来自某地址的跳转、来自某地址的调用等信息。
2．内存窗口
内存窗口显示了程序各个模块在内存中的地址及分布情况，如图3-7所示。
从图3-7中可以看出，内存映射窗口显示了被调试程序分配的所有内存块。内存块是可执行文件的节表，OD会将该节表的信息输出。在内存窗口中可以通过单击鼠标右键弹出的菜单完成设置断点、搜索、设置内存访问/写入断点、查看资源等功能。

3．断点窗口
断点窗口显示了设置的所有软断点，如图3-8所示。


从图3-8中可以看出，当前OD调试器中设置了四条软断点（所谓的软断点，是指使用F2快捷键、BP命令设置的断点等，但是不包括内存断点和硬件断点），设置断点的地址从图3-8的第一列可以查看。如果在API函数的首地址上设置了断点，那么在地址后会给出API函数的名称。设置好的断点如果不想使用，可以进行删除；如果设置的断点只是暂时不想使用，则可以通过使用空格键来切换其“是否激活”的状态，设置的断点只有在激活的状态下会生效。
4．调用堆栈窗口
调用堆栈用来显示当前代码所属函数的调用关系，调用堆栈窗口如图3-9所示。
调用堆栈窗口根据选定线程的栈，来反向地观察函数调用关系，同时包含被调用函数的参数。调用栈窗口一共有五个列，分别是地址列、堆栈列、函数过程/参数列、调用来自列和结构列。
地址列：是当前调用时的栈地址。
堆栈列：是当前栈地址中的值。
函数过程/参数列：被调用的函数的地址或参数。
调用来自列：是调用该函数的地址。
结构列：是相对应的栈结构（栈框架）的EBP寄存器的值。


从图3-9中第1行信息可以看出，当前代码所在地函数首地址是OllyDbg模块中的_Set-breakpointext函数中，调用该函数的位置来源于OllyDbg.0045ED3A地址处，而OllyDbg.0045ED3A函数所在地函数首地址在OllyDbg.00045E0F0地址处。其调用关系模拟如下：

各个调用关系之间的Arg1、Arg2是由调用方函数传递给被调用方的函数参数。调用堆栈可以快速地看出当前地址的调用关系，从而快速地找出该调用来自何处。
5．Window窗口
Window窗口用于显示所有属于被调试程序窗口及其窗口相关的重要参数，如图3-10所示。


在Window窗口中会显示被调试程序窗口上的控件的信息，比如控件的风格、控件的句柄、控件的标题等信息。在调试时往往需要跟踪某个控件的处理事件，因此该功能非常的重要。
6．补丁窗口
补丁窗口记录了调试者在调试程序时对程序的修改，如图3-11所示。
补丁窗口记录对被调试程序修改的地址、修改的大小（即修改的字节个数）、修改前和修改后的指令及注释（该处的注释是在CPU窗口的反汇编代码处添加到注释）。
补丁窗口可以很方便地将调试者的修改记录下来，以方便调试者对自己修改的字节码进行管理，当某处字节码修改有问题或者修改需要恢复时，可以进行方便的操作。

大牛厉害！感谢分享！

谢谢分享

谢谢分享

太好了，我看看，谢谢！

感谢楼主

谢谢分享

谢谢分享

谢谢分享

帮顶一下