使用的示例是《Windows程序設計》第五版第一章的HelloMsg.exe；

?

一 UPX命令行壓縮

?

下載
upx.sourceforge.net/download/upx304w.zip

upx是一個可執行文件壓縮工具；

upx -o HelloMsg_upx.exe HelloMsg.exe

-O，輸出壓縮文件，不帶其他參數；只打 upx ，查看幫助；

壓縮以后exe減小；

?

二 反匯編動畫進入

?

首先加載HelloMsg.exe；停留在004011C0；此時的加載暫停選項是 主模塊的入口點；

跟蹤菜單里面有，動畫進入，動畫結束；一個相當于自動反復執行F7，一個相當于自動反復執行F8；

這兩個并不是一個開始，一個結束；
?

對HelloMsg.exe反匯編出來的主模塊，是從00401000開始；到00407FFF結束；

執行 Ctrl+F8；開始自動跟蹤代碼，光標自己移動；
打下圖，下劃紅色一排四個按鈕，均無法停止對此程序的自動跟蹤；只能打下劃綠色的暫停按鈕暫停；
暫停住，已經自動運行到76B01000；

重啟動；再執行Ctrl+F8；暫停住，已經自動運行到753B2617；
就是對此程序的自動跟蹤，無法轉換到F7和F8模式；

三 OllyDbg搜索命令功能

?

加載UPX壓縮過的HelloMsg_upx.exe；
現在還不清楚upx壓縮和加殼是什么關系；
加殼的代碼很可能存在循環；
匯編循環語句的一種情況是使用ECX計數；下面來查找加載程序中包含ECX的指令；右鍵菜單選擇 搜索-命令；

輸入 ecx 搜索；提示 未知命令；

輸入pop ecx；
搜到一條 pop ecx指令；

此工具的 搜索-命令 菜單，只能搜索整條指令匹配的情況；

?

現在干完了以上活；

根據逆向相關資料；壓縮或加殼后的exe，很可能存在匯編循環代碼；有時稱 解壓縮循環；

跟蹤此類代碼，可以打Ctrl+F8進入自動跟蹤；如果碰到循環；光標會在一段代碼處反復自動上下；此時打F7大概可以停止跟蹤，查看循環；

干完了以上以后，有時間可以開始操作對加殼的程序進行跟蹤；

總結

以上是生活随笔為你收集整理的UPX命令行压缩、反汇编动画进入、OllyDbg搜索命令功能的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。