OllyDbg中的快捷键.doc

1、通用快捷键Global shortcuts无论当前的 OllyDbg 窗口是什么，这些快捷键均有效：Ctrl+F2 -重启程序，即重新启动被调试程序。如果当前没有调试的程序，OllyDbg 会运行历史列表history list中的第一个程序。程序重启后，将会删除所有内存断点和硬件断点。译者注：从实际使用效果看，硬件断点在程序重启后并没有移除。Alt+F2 - 关闭，即关闭被调试程序。如果程序仍在运行，会弹出一个提示信息，询问您是否要关闭程序。F3 - 弹出“打开 32 位.EXE 文件”对话框 Open 32-bit .EXE file ，您可以选择可执行文件，并可以输入运行参数。Alt+F

2、5 - 让 OllyDbg 总在最前面。如果被调试程序在某个断点处发生中断，而这时调试程序弹出一个总在最前面的窗口（一般为模式消息或模式对话框modal message or dialog ） ，它可能会遮住 OllyDbg 的一部分，但是我们又不能移动最小化这个窗口。激活 OllyDbg（比如按任务栏上的标签）并按 Alt+F5，OllyDbg将设置成总在最前面，会反过来遮住刚才那个窗口。如果您再按一下 Alt+F5，OllyDbg 会恢复到正常状态。OllyDbg 是否处于总在最前面状态，将会保存，在下一次调试时依然有效。当前是否处于总在最前面状态，会显示在状态栏中。F7 - 单步步入到下

3、一条命令，如果当前命令是一个函数Call ，则会停在这个函数体的第一条命令上。如果当前命令是是含有 REP 前缀，则只执行一次重复操作。Shift+F7 - 与 F7 相同，但是如果被调试程序发生异常而中止，调试器会首先尝试步入被调试程序指定的异常处理（请参考忽略 Kernel32 中的内存非法访问） 。Ctrl+F7 - 自动步入，在所有的函数调用中一条一条地执行命令（就像您按住 F7 键不放一样，只是更快一些） 。当您执行其他一些单步命令，或者程序到达断点，或者发生异 常时，自动步入过程都会停止。每次单步步入，OllyDbg 都会更新所有的窗口。所以为了提高自动步入的速度，请您关闭不必要成

4、窗口，对于保留的窗口最好 尽量的小。按 Esc 键，可以停止自动步入。F8 - 单步步过到下一条命令。如果当前命令是一个函数，则一次执行完这个函数（除非这个函数内部包含断点，或发生了异常） 。如果当前命令是含有 REP 前缀，则会执行完重复操作，并停在下一条命令上。Shift+F8 - 与 F8 相同，但是如果被调试程序发生异常而中止，调试器会首先尝试步过被调试程序指定的异常处理（请参考忽略 Kernel32 中的内存非法访问） 。Ctrl+F8 - 自动步过，一条一条的执行命令，但并不进入函数调用内部（就像您按住 F8 键不放一样，只是更快一些） 。当您执行其他一些单步命令，或者程序到达断点

5、，或者 发生异常时，自动步过过程都会停止。每次单步步过，OllyDbg 都会更新所有的窗口。所以为了提高自动步过的速度，请您关闭不必要成窗口，对于保留的窗 口最好尽量的小。按 Esc 键，可以停止自动步过。F9 - 让程序继续执行。 Shift+F9 - 与 F9 相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理（请参考忽略 Kernel32 中的内存非法访问） 。Ctrl+F9 - 执行直到返回，跟踪程序直到遇到返回，在此期间不进入子函数也不更新 CPU 数据。因为程序是一条一条命令执行的，所以速度可能会慢一些。按 Esc 键，可以停止跟踪。Alt+F9

6、- 执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新 CPU 数据。因为程序是一条一条执行的，所以速度可能会慢一些。按 Esc 键，可以停止跟踪。Ctrl+F11 -Run 跟踪步入，一条一条执行命令，进入每个子函数调用，并把寄存器的信息加入到 Run 跟踪的存储数据中。Run 跟踪不会同步更新 CPU 窗口。F12 - 停止程序执行，同时暂停被调试程序的所有线程。请不要手动恢复线程运行，最好使用继续执行快捷键或菜单选项（像 F9） 。Ctrl+F12 - Run 跟踪 步过，一条一条执行命令，但是不进入子函数调用， ，并把寄存器的信息加入到

7、Run 跟踪的存储数据中。Run 跟踪不会同步更新 CPU 窗口。Esc - 如果当前处于自动运行或跟踪状态，则停止自动运行或跟踪；如果 CPU 显示的是跟踪数据，则显示真实数据。Alt+B - 显示断点窗口。在这个窗口中，您可以编辑、删除、或跟进到断点处。Alt+C - 显示 CPU 窗口。Alt+E - 显示模块列表list of modules 。Alt+K - 显示调用栈Call stack窗口。Alt+L - 显示日志窗口。Alt+M - 显示内存窗口。Alt+O - 显示选项对话框Options dialogCtrl+P - 显示补丁窗口。Ctrl+T - 打开 暂停 Run 跟踪

8、 对话框Alt+X - 关闭 OllyDbg。大多数窗口都支持以下的键盘命令：Alt+F3 - 关闭当前窗口。Ctrl+F4 - 关闭当前窗口。F5 - 最大化当前窗口或将当前窗口大小改为正常化。F6 - 切换到下一个窗口。Shift+F6 - 切换到前一个窗口。F10 - 打开与当前窗口或面板相关的快捷菜单。左方向键 - 显示窗口左方一个字节宽度的内容。Ctrl+左方向键 - 显示窗口左方一栏的内容。右方向键 - 显示窗口右方一个字节宽度的内容Ctrl+右方向键 - 显示窗口右方一栏的内容反汇编窗口中的快捷键Disassembler shortcuts当 CPU 窗口中的反汇编面板Disas

9、sembler pane处于激活状态时，您可以使用以下快捷键：回车键 - 将选中的命令添加到命令历史command history中，如果当前命令是一个跳转、函数或者是转换表的一个部分，则进入到目的地址。退格键 - 移除选中部分的自动分析信息。如果分析器将代码误识别为数据，这个快捷键就非常有用。请参考解码提示decoding hints.Alt+退格键 - 撤消所选部分的修改，以备份数据的相应内容替换所选部分。仅当备份数据存在且与所选部分不同时可用。Ctrl+F1 -如果 API 帮助文件已经选择，将打开与首个选择行内的符号名相关联的帮助主题。F2 -在首个选择的命令上开关 INT3 断点Br

10、eakpoint ，也可以双击该行第二列。Shift+F2 -在首个选择命令设置条件断点，参见忽略 Kernel32 中内存访问异常Ignore memory access violations in Kernel32 。F4 -执行到所选行，在首个选择的命令上设置一次性断点，然后继续执行调试程序，直到 OllyDbg 捕获到异常或者停止在该断点上。在程序执行到该命令之前，该一次性断点一直有效。如有必要，可在断点窗口Breakpoints window中删除它。Shift+F4 -设置记录断点（一种条件断点，当条件满足时一些表达式的值会记录下来） ， 详情参见断点Breakpoint 。Ctr

11、l+F5 -打开与首个选择的命令相对应的源文件。Alt+F7 -转到上一个找到的参考。Alt+F8 -转到下一个找到参考。Ctrl+A -分析当前模块的代码段。Ctrl+B - 开始二进制搜索。Ctrl+C -复制所选内容到剪贴板。复制时会简单地按列宽截断不可见内容，如果希望排除不需要的列，可把这些列的宽度调整到最小。Ctrl+E -以二进制（十六进制）格式编辑所选内容。Ctrl+F -开始命令搜索。Ctrl+G -转到某地址。该命令将弹出输入地址或表达式的窗口。该命令不会修改 EIP。Ctrl+J -列出所有的涉及到该位置的调用和跳转，在您用这个功能之前，您必须使用分析代码功能。Ctrl+K

12、 - 查看与当前函数相关的调用树Call tree 。在您用这个功能之前，您必须使用分析代码功能。Ctrl+L - 搜索下一个，重复上一次的搜索内容。Ctrl+N - 打开当前模块的名称（标签）列表。Ctrl+O - 扫描 object 文件。扫描 Object 文件。该命令会显示扫描 Object 文件对话框，您可以在该对话框中选择 Object 文件或者 lib 文件，并扫描这个文件，试图找到在实际代码段中用到的目标模块。Ctrl+R -搜索所选命令的参考。该命令扫描激活模块的全部可执行代码，以找到涉及到首个选中的命令的全部相关参考（包括：常量、跳转及调用） ，您可以在参考中使用快捷键 A

13、lt+F7 和 Alt+F8 来浏览这些参考。为便于您使用，被参考的命令也包含在该列表中。Ctrl+S -命令搜索。该命令显示命令查找Find command对话框供您输入汇编命令，并从当前命令开始搜索。星号Asterisk(*) -转到原始位置（激活线程的 EIP 处） 。Ctrl+星号(*) - 指定新的起始位置，设置当前所选线程的 EIP 为首个选择字节的地址。您可以在选择 EIP 并撤消该操作。加号Plus(+) -如果 run 跟踪 run trace 没有激活，则根据命令历史command history跳到下一条运行过命令的地方；否则跳到 Run 跟踪的下一个记录。Ctrl+加号

14、 - 跳到前一个函数开始处。 （注意只是跳到，并不执行）减号Minus(-) - 如果 run 跟踪run trace 没有激活，则根据命令历史command history跳到前一条运行过命令的地方；否则跳到 Run 跟踪的前一个记录。Ctrl+减号 - 跳到下一个函数开始处。 （注意只是跳到，并不执行）空格Space - 修改命令。您可在显示对话框中以汇编语言修改实际指令或输入新指令，这些指令将替换实际代码，您也可以在想要修改的指令处双击鼠标。冒号Colon(:) - 添加标签。显示添加标签窗口Add label或修改标签窗口Change label ，您可在此输入与首个选择的命令中的第一个字节相关联的标签（符号名） 。注意，在多种编程语言中，冒号可以是标签的一部分。分 号Semicolon(;) - 添加注释comment 。显示添加注释窗口Add label或修改注释窗口Change label ，您可在此输入与首条所选命令的第一个字节相关联的注释（注释串会显示在最后一列中） 。注意，多种汇编语言使用分号作为注释开始。您也可以在 注释列双击需要注释的命令行。