ctrl+f2 - 重啟程式,即重新啟動被除錯程式。如果當前沒有除錯的程式,ollydbg會執行歷史列表[history list]中的第乙個程式。程式重啟後,將會刪除所有記憶體斷點和硬體斷點。
譯者注:從實際使用效果看,硬體斷點在程式重啟後並沒有移除。
alt+f2 - 關閉,即關閉被除錯程式。如果程式仍在執行,會彈出乙個提示資訊,詢問您是否要關閉程式。
f3 - 彈出「開啟32位.exe檔案」對話方塊[open 32-bit .exe file],您可以選擇可執行檔案,並可以輸入執行引數。
alt+f5 - 讓ollydbg總在最前面。如果被除錯程式在某個斷點處發生中斷,而這時除錯程式彈出乙個總在最前面的視窗(一般為模式訊息或模式對話方塊[modal message or dialog]),它可能會遮住ollydbg的一部分,但是我們又不能移動最小化這個視窗。啟用ollydbg(比如按工作列上的標籤)並按alt+f5,ollydbg將設定成總在最前面,會反過來遮住剛才那個視窗。如果您再按一下alt+f5,ollydbg會恢復到正常狀態。ollydbg是否處於總在最前面狀態,將會儲存,在下一次除錯時依然有效。當前是否處於總在最前面狀態,會顯示在狀態列中。
f7 - 單步步入到下一條命令,如果當前命令是乙個函式[call],則會停在這個函式體的第一條命令上。如果當前命令是是含有rep字首,則只執行一次重複操作。
shift+f7 - 與f7相同,但是如果被除錯程式發生異常而中止,偵錯程式會首先嘗試步入被除錯程式指定的異常處理(請參考忽略kernel32中的記憶體非法訪問)。
ctrl+f7 - 自動步入,在所有的函式呼叫中一條一條地執行命令(就像您按住f7鍵不放一樣,只是更快一些)。當您執行其他一些單步命令,或者程式到達斷點,或者發生異常時,自動步入過程都會停止。每次單步步入,ollydbg都會更新所有的視窗。所以為了提高自動步入的速度,請您關閉不必要成視窗,對於保留的視窗最好盡量的小。按esc鍵,可以停止自動步入。
f8 - 單步步過到下一條命令。如果當前命令是乙個函式,則一次執行完這個函式(除非這個函式內部包含斷點,或發生了異常)。如果當前命令是含有rep字首,則會執行完重複操作,並停在下一條命令上。
shift+f8 - 與f8相同,但是如果被除錯程式發生異常而中止,偵錯程式會首先嘗試步過被除錯程式指定的異常處理(請參考忽略kernel32中的記憶體非法訪問)。
ctrl+f8 - 自動步過,一條一條的執行命令,但並不進入函式呼叫內部(就像您按住f8鍵不放一樣,只是更快一些)。當您執行其他一些單步命令,或者程式到達斷點,或者發生異常時,自動步過過程都會停止。每次單步步過,ollydbg都會更新所有的視窗。所以為了提高自動步過的速度,請您關閉不必要成視窗,對於保留的視窗最好盡量的小。按esc鍵,可以停止自動步過。
f9 - 讓程式繼續執行。
shift+f9 - 與f9相同,但是如果被除錯程式發生異常而中止,偵錯程式會首先嘗試執行被除錯程式指定的異常處理(請參考忽略kernel32中的記憶體非法訪問)。
ctrl+f9 - 執行直到返回,跟蹤程式直到遇到返回,在此期間不進入子函式也不更新cpu資料。因為程式是一條一條命令執行的,所以速度可能會慢一些。按esc鍵,可以停止跟蹤。
alt+f9 - 執行直到返回到使用者**段,跟蹤程式直到指令所屬於的模組不在系統目錄中,在此期間不進入子函式也不更新cpu資料。因為程式是一條一條執行的,所以速度可能會慢一些。按esc鍵,可以停止跟蹤。
ctrl+f11 -run跟蹤步入,一條一條執行命令,進入每個子函式呼叫,並把暫存器的資訊加入到run跟蹤的儲存資料中。run跟蹤不會同步更新cpu視窗。
f12 - 停止程式執行,同時暫停被除錯程式的所有執行緒。請不要手動恢復執行緒執行,最好使用繼續執行快捷鍵或選單選項(像 f9)。
ctrl+f12 - run跟蹤 步過,一條一條執行命令,但是不進入子函式呼叫,,並把暫存器的資訊加入到run跟蹤的儲存資料中。run跟蹤不會同步更新cpu視窗。
esc - 如果當前處於自動執行或跟蹤狀態,則停止自動執行或跟蹤;如果cpu顯示的是跟蹤資料,則顯示真實資料。
alt+b - 顯示斷點視窗。在這個視窗中,您可以編輯、刪除、或跟進到斷點處。
alt+c - 顯示cpu視窗。
alt+e - 顯示模組列表[list of modules]。
alt+k - 顯示呼叫棧[call stack]視窗。
alt+l - 顯示日誌視窗。
alt+m - 顯示記憶體視窗。
alt+o - 顯示選項對話方塊[options dialog]
ctrl+p - 顯示補丁視窗。
ctrl+t - 開啟 暫停 run跟蹤 對話方塊
alt+x - 關閉 ollydbg。
大多數視窗都支援以下的鍵盤命令:
alt+f3 - 關閉當前視窗。
ctrl+f4 - 關閉當前視窗。
f5 - 最大化當前視窗或將當前視窗大小改為正常化。
f6 - 切換到下乙個視窗。
shift+f6 - 切換到前乙個視窗。
f10 - 開啟與當前視窗或面板相關的快捷選單。
左方向鍵 - 顯示視窗左方乙個位元組寬度的內容。
ctrl+左方向鍵 - 顯示視窗左方一欄的內容。
右方向鍵 - 顯示視窗右方乙個位元組寬度的內容
ctrl+右方向鍵 - 顯示視窗右方一欄的內容
回車鍵 - 將選中的命令新增到命令歷史[command history]中,如果當前命令是乙個跳轉、函式或者是轉換表的乙個部分,則進入到目的位址。
退格鍵 - 移除選中部分的自動分析資訊。如果分析器將**誤識別為資料,這個快捷鍵就非常有用。請參考解碼提示[decoding hints].
alt+退格鍵 - 撤消所選部分的修改,以備份資料的相應內容替換所選部分。僅當備份資料存在且與所選部分不同時可用。
ctrl+f1 -如果api幫助檔案已經選擇,將開啟與首個選擇行內的符號名相關聯的幫助主題。
f2 -在首個選擇的命令上開關int3 斷點[breakpoint],也可以雙擊該行第二列。
shift+f2 -在首個選擇命令設定條件斷點,參見忽略kernel32中記憶體訪問異常[ignore memory access violations in kernel32]。
f4 -執行到所選行,在首個選擇的命令上設定一次性斷點,然後繼續執行除錯程式,直到ollydbg捕獲到異常或者停止在該斷點上。在程式執行到該命令之前,該一次性斷點一直有效。如有必要,可在斷點視窗[breakpoints window]中刪除它。
shift+f4 -設定記錄斷點(一種條件斷點,當條件滿足時一些表示式的值會記錄下來), 詳情參見斷點[breakpoint]。
ctrl+f5 -開啟與首個選擇的命令相對應的原始檔。
ctrl+a -分析當前模組的**段。
ctrl+b - 開始二進位制搜尋。
ctrl+c -複製所選內容到剪貼簿。複製時會簡單地按列寬截斷不可見內容,如果希望排除不需要的列,可把這些列的寬度調整到最小。
ctrl+e -以二進位制(十六進製制)格式編輯所選內容。
ctrl+f -開始命令搜尋。
ctrl+g -轉到某位址。該命令將彈出輸入位址或表示式的視窗。該命令不會修改 eip。
ctrl+j -列出所有的涉及到該位置的呼叫和跳轉,在您用這個功能之前,您必須使用分析**功能。
ctrl+k - 檢視與當前函式相關的呼叫樹[call tree]。在您用這個功能之前,您必須使用分析**功能。
ctrl+n - 開啟當前模組的名稱(標籤)列表。
ctrl+o - 掃瞄object檔案。掃瞄object檔案。該命令會顯示掃瞄object檔案對話方塊,您可以在該對話方塊中選擇object檔案或者lib檔案,並掃瞄這個檔案,試圖找到在實際**段中用到的目標模組。
ctrl+r -搜尋所選命令的參考。該命令掃瞄啟用模組的全部可執行**,以找到涉及到首個選中的命令的全部相關參考(包括:常量、跳轉及呼叫),您可以在參考中使用快捷鍵 alt+f7 和 alt+f8來瀏覽這些參考。為便於您使用,被參考的命令也包含在該列表中。
ctrl+s -命令搜尋。該命令顯示命令查詢[find command]對話方塊供您輸入彙編命令,並從當前命令開始搜尋。
星號[asterisk](*) -轉到原始位置(啟用執行緒的eip處)。
ctrl+星號(*) - 指定新的起始位置,設定當前所選線程的eip為首個選擇位元組的位址。您可以在選擇eip並撤消該操作。
加號[plus](+) -如果run跟蹤[run trace] 沒有啟用,則根據命令歷史[command history]跳到下一條執行過命令的地方;否則跳到run跟蹤的下乙個記錄。
ctrl+加號 - 跳到前乙個函式開始處。(注意只是跳到,並不執行)
減號[minus](-) - 如果run跟蹤[run trace] 沒有啟用,則根據命令歷史[command history]跳到前一條執行過命令的地方;否則跳到run跟蹤的前乙個記錄。
ctrl+減號 - 跳到下乙個函式開始處。(注意只是跳到,並不執行)
空格[space] - 修改命令。您可在顯示對話方塊中以組合語言修改實際指令或輸入新指令,這些指令將替換實際**,您也可以在想要修改的指令處雙擊滑鼠。
冒號[colon](:) - 新增標籤。顯示新增標籤視窗[add label]或修改標籤視窗[change label],您可在此輸入與首個選擇的命令中的第乙個位元組相關聯的標籤(符號名)。注意,在多種程式語言中,冒號可以是標籤的一部分。
分號[semicolon](;) - 新增注釋[comment]。顯示新增注釋視窗[add label]或修改注釋視窗[change label],您可在此輸入與首條所選命令的第乙個位元組相關聯的注釋(注釋串會顯示在最後一列中)。注意,多種組合語言使用分號作為注釋開始。您也可以在注釋列雙擊需要注釋的命令列。
OllyDbg快捷鍵記錄帖
ollydbg 主線程視窗 1.彙編 對應的位址視窗 2.彙編 對應的十六進製制機器碼視窗 3.反彙編視窗 4.反彙編 對應的注釋資訊視窗 5.暫存器資訊視窗 6.當前執行到的反彙編 的資訊視窗 7 9.資料所在的記憶體位址,十六進製制,ascii碼 10 12.棧位址,存放的資料,對應說明資訊 o...
OllyDbg快捷鍵記錄帖
ollydbg 主線程視窗 1.彙編 對應的位址視窗 2.彙編 對應的十六進製制機器碼視窗 3.反彙編視窗 4.反彙編 對應的注釋資訊視窗 5.暫存器資訊視窗 6.當前執行到的反彙編 的資訊視窗 7 9.資料所在的記憶體位址,十六進製制,ascii碼 10 12.棧位址,存放的資料,對應說明資訊 o...
通用快捷鍵
f2 alt 類似windows下面win r 是執行程式地快捷鍵 ctrl alt d 類似windows下面地win d 是顯示桌面地快捷鍵 ctrl alt l 啟動螢幕保護程式?alt tab 同windows下地定義一樣 print screen 螢幕抓圖 整個螢幕 alt print s...