OD脚本备忘

liwj

原来OD脚本是保存到文本文件（.txt）就可以的，在OD里右键--‘运行脚本’--‘打开’就可以选择我们的脚本了，这个脚本目的是断点生效，程序被OD断下来后，获取相关寄存器和堆栈的值，之所以用脚本取获取，
是因为要在相同的位置获取的数值，批量获取数量，以便调试分析。下面是查看read file 读取的数据 。
//运行之前，只留一个断点（readfile 的mov ecx,eax）,接着附加运行程序并运行程序，断在readfile 的mov ecx,eax这里后，不能禁止这里的断点（理由在下面），我们再导入这个脚本
var espaddsisi
var bufferaddr
var espaddsiba
var changdu

var shuju
var jishu
mov jishu,0
// ==========================================
label:

run
//由于禁止readfile 的mov ecx,eax该断点，整个OD都没有断点，运行脚本后执行的是run,后续没有断点断下来，下面这些个变量和log/find全部没有执行，因此要保留readfile 的mov ecx,eax该处断点 //驱动下面的代码
cmp jishu,300
je label2
mov espaddsisi,esp
add espaddsisi,44
mov bufferaddr,[espaddsisi]
log "bufferaddr内存地址？"
log bufferaddr

find bufferaddr,#56eedcc7#//找内存数据，找到后地址返回到$RESULT 找不到就返回0
cmp $RESULT,0
jne label3 //不等于0，代表找到了

mov espaddsiba,esp
add espaddsiba,48
mov changdu,[espaddsiba]
log "changdu字节长度？"
log changdu

mov shuju,[bufferaddr]
log shuju

dma bufferaddr,changdu,"c:\Users\gj\Desktop\test\dump.bin"
log "=========================================="
jmp label
label3:
bprm bufferaddr,1 //一个字节的内存访问断点 停在cmp
log "是否找到了地址是？"
log bufferaddr
//bpwm bufferaddr,1 //因为是在1号地址取数 异或后又给回了1号，所以在1号这里下内存写入断点，就可以看到汇编是哪里写入了
                               //时机很重要，因为读了两次e9e9e9fd,第一次读了之后，并没有写回到原来的地址，所以这个断点是没有断下来
//bphws bufferaddr
run
cmt eip,"这就是算法" //断下来后，标记注释算法

label2:
ret

l441669899

感谢楼主分享！

pizazzboy

感谢精彩的分享

jixingzi

感谢楼主分享

8392973

谢谢分享。

camyan

感谢分享

理想的海洋

大佬有vmp脱壳的脚本吗

CXC303

标记学习

liwj

理想的海洋 发表于 2022-11-11 11:09
大佬有vmp脱壳的脚本吗

正在学习研究 希望能搞懂

理想的海洋

liwj 发表于 2022-11-11 13:55
正在学习研究 希望能搞懂

等待你的研究成果 哈哈