注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

风雨夜归人

专业收集资料,个人爱好!

 
 
 

日志

 
 

OllyDbg插件——Ultra String Reference  

2009-11-16 16:02:09|  分类: 逆向 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

名称: Ultra String Reference 版本: v0.10 作者: 罗聪 日期: 2004-07-15

下载地址:http://www.luocong.com/myworks/zipped/ustrref.zip

 [简介] Ultra String Reference 是一个 OllyDbg 的插件(Plugin),OllyDbg的串式参考(String Reference)对中文的支持比较差,有感于此,我写了这个插件,支持对 GB2312 中文的串式参考,希望可以改善这种状况。 [系统需求] OllyDbg 1.10,否则该插件不会被装载。 [安装] 把 ustrref.dll 拷贝至 OllyDbg 主程序所在的目录下即可。 [使用方法] 第一步,用 OllyDbg 载入 PE 文件。 第二步,选择主菜单的“Plugins->Ultra String Reference”,或者右键单击并选择反汇编窗口中弹出的“Ultra String Reference”菜单,然后选择“Find ASCII”或者“Find UNICODE”。具体使用哪个请自行决定,一般来说 VB 的程序应该使用“Find UNICODE”,非 VB 的程序应该使用“Find ASCII”。 [原理] 通过对PE文件的代码段进行反汇编,找出以 push、mov、lea 开头的 3 种形式的代码。

例如:push [address] 或者  mov [register], offset [address] ; 我们知道,push 很可能是进行参数的压栈操作;mov offset 和 lea offset 则很可能是紧跟一个字符串的偏移地址。因此如果对程序进行反汇编,并进行一些相应的地址转换后,得到的就非常可能是字符串。根据多次尝试后,我最终采取的方法就是这样——对代码段进行反汇编,然后转换地址,再筛选掉没用的垃圾字符,从而找出有用的字符串。

 [特点] 1、能正确找出中文字符串。 这点 OllyDbg 就无法做到,大部分的中文字符串都会被它漏掉。 2、与 OllyDbg 原有的 String Reference 功能兼容。 操作步骤和界面都是一样的,基本上不会造成使用上的困难。

[缺点] 1、有部分中文字符串不被支持。 为了尽可能地过滤垃圾字符串,目前仅支持双字节 2 区的 6763 个常用简体中文汉字(即 GB2312 标准的汉字),以及双字节 1 区和双字节 5 区的图形符号。然而对于大多数程序来说,这些常用字已经足够了。 2、会存在一定的垃圾字符串。 有部分垃圾字符串的组合编码会与 GB2312 简体中文汉字和图形符号的码位范围落在同一个区间内,这样就会导致识别错误。不过这是很难避免的,其实 W32Dasm 也存在同样的问题。 [ToDo] 对生成的串式参考字符串进行搜索。

  评论这张
 
阅读(1311)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017