1、通用快捷键Global shortcuts无论当前的 OllyDbg 窗口是什么,这些快捷键均有效:Ctrl+F2 -重启程序,即重新启动被调试程序。如果当前没有调试的程序,OllyDbg 会运行历史列表history list中的第一个程序。程序重启后,将会删除所有内存断点和硬件断点。译者注:从实际使用效果看,硬件断点在程序重启后并没有移除。Alt+F2 - 关闭,即关闭被调试程序。如果程序仍在运行,会弹出一个提示信息,询问您是否要关闭程序。F3 - 弹出“打开 32 位.EXE 文件”对话框 Open 32-bit .EXE file ,您可以选择可执行文件,并可以输入运行参数。Alt+F
2、5 - 让 OllyDbg 总在最前面。如果被调试程序在某个断点处发生中断,而这时调试程序弹出一个总在最前面的窗口(一般为模式消息或模式对话框modal message or dialog ) ,它可能会遮住 OllyDbg 的一部分,但是我们又不能移动最小化这个窗口。激活 OllyDbg(比如按任务栏上的标签)并按 Alt+F5,OllyDbg将设置成总在最前面,会反过来遮住刚才那个窗口。如果您再按一下 Alt+F5,OllyDbg 会恢复到正常状态。OllyDbg 是否处于总在最前面状态,将会保存,在下一次调试时依然有效。当前是否处于总在最前面状态,会显示在状态栏中。F7 - 单步步入到下
3、一条命令,如果当前命令是一个函数Call ,则会停在这个函数体的第一条命令上。如果当前命令是是含有 REP 前缀,则只执行一次重复操作。Shift+F7 - 与 F7 相同,但是如果被调试程序发生异常而中止,调试器会首先尝试步入被调试程序指定的异常处理(请参考忽略 Kernel32 中的内存非法访问) 。Ctrl+F7 - 自动步入,在所有的函数调用中一条一条地执行命令(就像您按住 F7 键不放一样,只是更快一些) 。当您执行其他一些单步命令,或者程序到达断点,或者发生异 常时,自动步入过程都会停止。每次单步步入,OllyDbg 都会更新所有的窗口。所以为了提高自动步入的速度,请您关闭不必要成
4、窗口,对于保留的窗口最好 尽量的小。按 Esc 键,可以停止自动步入。F8 - 单步步过到下一条命令。如果当前命令是一个函数,则一次执行完这个函数(除非这个函数内部包含断点,或发生了异常) 。如果当前命令是含有 REP 前缀,则会执行完重复操作,并停在下一条命令上。Shift+F8 - 与 F8 相同,但是如果被调试程序发生异常而中止,调试器会首先尝试步过被调试程序指定的异常处理(请参考忽略 Kernel32 中的内存非法访问) 。Ctrl+F8 - 自动步过,一条一条的执行命令,但并不进入函数调用内部(就像您按住 F8 键不放一样,只是更快一些) 。当您执行其他一些单步命令,或者程序到达断点
5、,或者 发生异常时,自动步过过程都会停止。每次单步步过,OllyDbg 都会更新所有的窗口。所以为了提高自动步过的速度,请您关闭不必要成窗口,对于保留的窗 口最好尽量的小。按 Esc 键,可以停止自动步过。F9 - 让程序继续执行。 Shift+F9 - 与 F9 相同,但是如果被调试程序发生异常而中止,调试器会首先尝试执行被调试程序指定的异常处理(请参考忽略 Kernel32 中的内存非法访问) 。Ctrl+F9 - 执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新 CPU 数据。因为程序是一条一条命令执行的,所以速度可能会慢一些。按 Esc 键,可以停止跟踪。Alt+F9
6、- 执行直到返回到用户代码段,跟踪程序直到指令所属于的模块不在系统目录中,在此期间不进入子函数也不更新 CPU 数据。因为程序是一条一条执行的,所以速度可能会慢一些。按 Esc 键,可以停止跟踪。Ctrl+F11 -Run 跟踪步入,一条一条执行命令,进入每个子函数调用,并把寄存器的信息加入到 Run 跟踪的存储数据中。Run 跟踪不会同步更新 CPU 窗口。F12 - 停止程序执行,同时暂停被调试程序的所有线程。请不要手动恢复线程运行,最好使用继续执行快捷键或菜单选项(像 F9) 。Ctrl+F12 - Run 跟踪 步过,一条一条执行命令,但是不进入子函数调用, ,并把寄存器的信息加入到
7、Run 跟踪的存储数据中。Run 跟踪不会同步更新 CPU 窗口。Esc - 如果当前处于自动运行或跟踪状态,则停止自动运行或跟踪;如果 CPU 显示的是跟踪数据,则显示真实数据。Alt+B - 显示断点窗口。在这个窗口中,您可以编辑、删除、或跟进到断点处。Alt+C - 显示 CPU 窗口。Alt+E - 显示模块列表list of modules 。Alt+K - 显示调用栈Call stack窗口。Alt+L - 显示日志窗口。Alt+M - 显示内存窗口。Alt+O - 显示选项对话框Options dialogCtrl+P - 显示补丁窗口。Ctrl+T - 打开 暂停 Run 跟踪
8、 对话框Alt+X - 关闭 OllyDbg。大多数窗口都支持以下的键盘命令:Alt+F3 - 关闭当前窗口。Ctrl+F4 - 关闭当前窗口。F5 - 最大化当前窗口或将当前窗口大小改为正常化。F6 - 切换到下一个窗口。Shift+F6 - 切换到前一个窗口。F10 - 打开与当前窗口或面板相关的快捷菜单。左方向键 - 显示窗口左方一个字节宽度的内容。Ctrl+左方向键 - 显示窗口左方一栏的内容。右方向键 - 显示窗口右方一个字节宽度的内容Ctrl+右方向键 - 显示窗口右方一栏的内容反汇编窗口中的快捷键Disassembler shortcuts当 CPU 窗口中的反汇编面板Disas
9、sembler pane处于激活状态时,您可以使用以下快捷键:回车键 - 将选中的命令添加到命令历史command history中,如果当前命令是一个跳转、函数或者是转换表的一个部分,则进入到目的地址。退格键 - 移除选中部分的自动分析信息。如果分析器将代码误识别为数据,这个快捷键就非常有用。请参考解码提示decoding hints.Alt+退格键 - 撤消所选部分的修改,以备份数据的相应内容替换所选部分。仅当备份数据存在且与所选部分不同时可用。Ctrl+F1 -如果 API 帮助文件已经选择,将打开与首个选择行内的符号名相关联的帮助主题。F2 -在首个选择的命令上开关 INT3 断点Br
10、eakpoint ,也可以双击该行第二列。Shift+F2 -在首个选择命令设置条件断点,参见忽略 Kernel32 中内存访问异常Ignore memory access violations in Kernel32 。F4 -执行到所选行,在首个选择的命令上设置一次性断点,然后继续执行调试程序,直到 OllyDbg 捕获到异常或者停止在该断点上。在程序执行到该命令之前,该一次性断点一直有效。如有必要,可在断点窗口Breakpoints window中删除它。Shift+F4 -设置记录断点(一种条件断点,当条件满足时一些表达式的值会记录下来) , 详情参见断点Breakpoint 。Ctr
11、l+F5 -打开与首个选择的命令相对应的源文件。Alt+F7 -转到上一个找到的参考。Alt+F8 -转到下一个找到参考。Ctrl+A -分析当前模块的代码段。Ctrl+B - 开始二进制搜索。Ctrl+C -复制所选内容到剪贴板。复制时会简单地按列宽截断不可见内容,如果希望排除不需要的列,可把这些列的宽度调整到最小。Ctrl+E -以二进制(十六进制)格式编辑所选内容。Ctrl+F -开始命令搜索。Ctrl+G -转到某地址。该命令将弹出输入地址或表达式的窗口。该命令不会修改 EIP。Ctrl+J -列出所有的涉及到该位置的调用和跳转,在您用这个功能之前,您必须使用分析代码功能。Ctrl+K
12、 - 查看与当前函数相关的调用树Call tree 。在您用这个功能之前,您必须使用分析代码功能。Ctrl+L - 搜索下一个,重复上一次的搜索内容。Ctrl+N - 打开当前模块的名称(标签)列表。Ctrl+O - 扫描 object 文件。扫描 Object 文件。该命令会显示扫描 Object 文件对话框,您可以在该对话框中选择 Object 文件或者 lib 文件,并扫描这个文件,试图找到在实际代码段中用到的目标模块。Ctrl+R -搜索所选命令的参考。该命令扫描激活模块的全部可执行代码,以找到涉及到首个选中的命令的全部相关参考(包括:常量、跳转及调用) ,您可以在参考中使用快捷键 A
13、lt+F7 和 Alt+F8 来浏览这些参考。为便于您使用,被参考的命令也包含在该列表中。Ctrl+S -命令搜索。该命令显示命令查找Find command对话框供您输入汇编命令,并从当前命令开始搜索。星号Asterisk(*) -转到原始位置(激活线程的 EIP 处) 。Ctrl+星号(*) - 指定新的起始位置,设置当前所选线程的 EIP 为首个选择字节的地址。您可以在选择 EIP 并撤消该操作。加号Plus(+) -如果 run 跟踪 run trace 没有激活,则根据命令历史command history跳到下一条运行过命令的地方;否则跳到 Run 跟踪的下一个记录。Ctrl+加号
14、 - 跳到前一个函数开始处。 (注意只是跳到,并不执行)减号Minus(-) - 如果 run 跟踪run trace 没有激活,则根据命令历史command history跳到前一条运行过命令的地方;否则跳到 Run 跟踪的前一个记录。Ctrl+减号 - 跳到下一个函数开始处。 (注意只是跳到,并不执行)空格Space - 修改命令。您可在显示对话框中以汇编语言修改实际指令或输入新指令,这些指令将替换实际代码,您也可以在想要修改的指令处双击鼠标。冒号Colon(:) - 添加标签。显示添加标签窗口Add label或修改标签窗口Change label ,您可在此输入与首个选择的命令中的第一个字节相关联的标签(符号名) 。注意,在多种编程语言中,冒号可以是标签的一部分。分 号Semicolon(;) - 添加注释comment 。显示添加注释窗口Add label或修改注释窗口Change label ,您可在此输入与首条所选命令的第一个字节相关联的注释(注释串会显示在最后一列中) 。注意,多种汇编语言使用分号作为注释开始。您也可以在 注释列双击需要注释的命令行。
