QQ登录

只需一步,快速开始

OD指令个别不识别的处理方法

[ 复制链接 ]
个人在使用ODv1.1版本时,发现分析代码后,个别汇编指令不识别。
提示未知命令,并以问题形式显示。
例如指令MVOQ,这是四字长度数据传输指令,OD老版本不识别。
当前OD新版本是V2.01,可以正常识别。
但新版本的好用插件少,资源少,如VS2010的函数库文件LIB在老版本可正常识别,
在新版本又无法识别。新版本分析一程序时还会生成一堆没用的文件,占用内存高,感觉相当的鸡肋。
主要原因还是熟悉老版本,能不换就不换,省事。

所以有没有现成的插件,可以实现指令的识别?
答案是有的。
感谢作者的分享。
将作者的插件下载放在OD插件目录后,重启OD,就可以在菜单上打开与设置此插件了。
如下图。
2020-04-16_100016.jpg

指令movq可以正常识别,可以正常单步执行,未知命令的提示可忽略了。
插件的名称是OllyDisasm201.dll。
OllyDisasm201插件功能简介:
1、把OD2.01的反汇编引擎替换到OD1.1上
DisasmMode 简介:
1、Replace Part   仅替换OD1.1不认识的指令,推荐使用此模式
2、Replace All    完全替换,一般情况不建议使用此模式
3、Disable      关闭

运行OD,在插件菜单下就可以打开此插件进行设置了,如下图。
无标题.jpg
弹出设置对话框就可以进行设置了。
下面是插件免费下载地址。
请点击此处下载

查看状态:已购买或有权限

您的用户组是:游客

文件名称:plugin20151109.rar 
文件大小:180.56 KB 
下载权限: 不限 以上或 VIP会员   [购买捐助会员]   [充值积分]   有问题联系我



作者对插件介绍
[2015.11.07 OllyRecord v1.1.15.0]
1、修复Record栏的强制类型转换
2、记录输出[线程ID]部分增加十六进制显示
3、强制类型转换增加 byte, word, dword (不区分大小写)
4、增加内存指针 byte ptr[0xXXXXXXXX], word ptr[0xXXXXXXXX], dword ptr[0xXXXXXXXX] (不区分大小写;若不指定类型,则默认解析为dword ptr)

示例:
"%p, %p, %p, %p, %p, %p, %f", eax, (UCHAR)eax, (ushort)eax, (byte)EAX, (WORD)eax, WORD PTR [edx], eax
输出结果:[12228|00002FC4] 0101247C| 4048F5C2, 000000C2, 0000F5C2, 000000C2, 0000F5C2, 0000706A, 3.140000

[2015.11.06 OllyRecord v1.1.9.0]
1、编译方式改为 /MT,不再需要VS2013运行库
2、规范版本号

[2015.11.06 OllyDisasm201 v1.0.11.0]
1、规范版本号

[2015.11.05 OllyRecord v1.0.5]
1、修复几个小BUG

[2015.11.04 OllyDisasm201 v1.0.3]
1、增加动态读取反汇编配置
2、修复几个小BUG

/////////////////////////////////////////////////////////////////
OllyDisasm201插件功能简介:
1、把OD2.01的反汇编引擎替换到OD1.1上

DisasmMode 简介:
1、Replace Part   仅替换OD1.1不认识的指令,推荐使用此模式
2、Replace All    完全替换,一般情况不建议使用此模式
3、Disable      关闭

/////////////////////////////////////////////////////////////////
OllyRecord插件功能简介:
1、给OD1.1的硬断加了一个条件记录的功能
2、替换OD的F3,把它作为设置和取消硬断的快捷键

详细介绍:
1、Address     要下断的地址
2、PassCount  条件成立多少次后断下
3、Comment     备注
4、Condition   条件,可支持常见的任意表达式(不区分大小写);支持强制类型转换 如:!eax  eax==0  (float)[eax] > 123.45
5、Record    输出记录,用法跟printf差不多;增加"%b"转换字符,用来输出字节,使用方法"%32b",eax 这样会输出32字节的内存
6、DebugView  输出记录到DebugView,输出格式:[线程ID十进制|线程ID十六进制] eip| 结果

Common Condition List 简介:
1、Delete     删除一条规则
2、Add       添加一条规则
3、Save      修改当前规则
回复

使用道具 举报

快速回复 返回列表 客服中心 搜索