od脚本编写资料与示例

《od脚本编写资料与示例》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、OD脚本编写资料与示例OD脚本编写资料与示例OllyScript脚本语言是一个种类汇编的语言。你使用它来控制ODbgScript和脚本运算.在后面的文档中,“源操作数”和“目的操作数”表示以下含义:-十六进制常数，既没有前缀也没有后缀。(例如：是00FF,而不是0x00FF和00FFh的形式)十进制常数,在后缀中加点.(例如:100.128.也可以是浮点数128.56,浮点数只能保留小数点后2位)-变量，这个变量必须在使用前用Var进行定义-32位寄存器(EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP,EIP)。16位寄存器(AX,BX,CX,DX,SI,DI,BP,SP

2、)8位的寄存器(AL,AH,...DL,DH)-被中括号括起来的内存地址(例如：[401000]指向内存地址为401000里存放分数据,[ecx]指向内存地址为寄存器ecx里存放分数据).-一个标志位，带有感叹号前缀(!CF,!PF,!AF,!ZF,!SF,!DF,!OF)-字符串，也可叫数据序列。其格式为：#6A0000#(数值在两个“#”号之间)，两个“#”号之间必须包含至少有一个数值。"1234567ABCDEF"-包含“?”通配符的字符串。比如#6A??00#或者#6?0000#3.1.1保留变量------------------------$RESULT-------

3、ULT>保存某些函数的返回值，比如FIND函数，等等。在ODbgScript的脚本调试窗口,你能观察到它的变换,并且可以修改它.$VERSION--------ODBGScript的版本信息,整个是系统保留变量名.例：cmp$VERSION,"1.47"//比较是否大于1.47版javersion_above_1473.1.2指令--------------#INC"文件名"---------一个脚本文件包含另外一个脚本.就像调用子程序一样.两个脚本中的变量名不能相同.例:#inc"test.txt"#LOG----开始记录运行指令指令会显示在OllyDbg的log窗口

4、中，每条记录前都会加上“-->”的前缀例：#logADD目的操作数,源操作数-------------源操作数与目的操作数相加，并把相加的结果保存到目的操作数中,支持字符串相加.例：addx,0F//x=x+Faddeax,x//eax=eax+xadd[401000],5//[401000]=[401000]+5浮点数相加addx,16.50//x=x+16.50(字符串相加)addy,"times"//如果在次之前y="1000"，则在执行完此指令之后y="1000times"AI--在OllyDbg中执行“自动步入”[Animateinto]操作

5、。相当于在OllyDbg中按下CTRL+F7例：aiALLOC大小----------申请内存,你能读/写/执行.例：alloc1000//新申请内存,大小为1000,返回结果$RESULT放着申请的内存开始地址.free$RESULT,1000AN地址-------从指定地址处，对代码进行分析。例：aneip//相当于在OllyDbg中按Ctrl+A键AND目的操作数,源操作数-------------源操作数与目的操作数进行逻辑与操作，并将结果保存到到目的操作数中。例：andx,0F//x=x&&fandeax,x//eax=eax&&xand[40100

6、0],5//[401000]=[401000]&&5AO--在OllyDbg中执行“自动步过”[Animateover]操作。相当于在OllyDbg中按下CTRL+F8例：aoASK问题------------显示一个提示输入框，让用户输入，结果保存变量$RESULT中（如果用户按了取消键，则$RESULT=0）。$RESULT_1中放着输入的长度.(注:程序将判读你输入的是字符,$RESULT_1的结果是输入字符数的数目,整型/2,中文数*2)例:ask"EnternewEIP"cmp$RESULT,0jecancel_pressedmoveip,$

7、RESULTASM地址,指令-----------------修改指定地址的指令。并将修改后的汇编指令长度保存到保留变量$RESULT中例：asmeip,"moveax,ecx"//将当前指令修改为moveax,ecxASMTXT文件-----------------汇编指定文件中的指令。将汇编指令保存到保留变量$RESULT中并将汇编指令长度保存到保留变量$RESULT_1中例：asmtxt