1、ODbgScript plugin by hnhuqiongFromODbgScript plugin v1.47 by Epsylon3OllyScript plugin v0.92 by SHaG-1. 关于 OllyScript2. 目前情况2.1 v1.54最新更新3. 文档3.1 语言概述3.1.1 保留变量3.1.2 指令3.2 标签3.3 注释3.4 菜单4. 嵌入其他的插件5. 疑难解析6. 如何联系我7. 特许与源代码8. 鸣谢!-1. 关于 ODbgScript-ODbgScript 是OLLYDBG调试器的一个插件。我个人认为,OllyDbg是目前最好的程序级调试器。这个
2、调试器的最大的特色之一就是她的插件体系,这是使得用户能够更为有效的扩展她的功能。ODbgScript 是一种通过类汇编语言的脚本,来控制OllyDbg自动运行的插件。在调试程序时,常常都是仅仅为了要找到某几个关键点,而不得不做大量的重复工作。 而通过使用我的脚本解释器,您就可以做到“写一次脚本, 使用 ODbgScript OllyScript最大的 级是 有了一个脚本的调试运行 , 能 好的控制脚本 脚本的运行 ,在ODbgScript的调试 , 可以单 行 的脚本,可以 工 行脚本 令,可以在 的脚本 点, 可以调 的变量 .这 于 调试 的脚本是有 的,在插件 可以 脚本运行 ,就来了.
3、ODbgScript有一个 (LOG),的不currency1“,我 在不的fi来,能为 展fl 大的功能.-2. 目前情况200752-V1.48-2006-5-20 ,ODbgScripthnhuqiong在Epsylon3源码的 ”行本以 级.v1.0-v1.47OllyScript变 ODbgScript,有新的,2005-11-4 Epsylon3 SHaG .( 2006-2-6 Epsylon3有为OllyScript”行新的 级.)v0.92OllyScript目前的 量 过一 次了!这 过2Gb的 量。这个 我来 不!为我要 与一个xray系 目,这个 目要 我不 的时, 以
4、这个插件的 可能要 了。的 不 大了。(2004710 SHaG本 OllyScript的,他了他的源码.)2.1 最新更新(+: 功能 *:BUG -: 功能 #: 试功能)V1.65.2(2007/09/15)+ BPHWC 不 fi 有 件 点+ BC 不 fi 有 点+ BD 不 fi 有 点+ BPGOTO 点自动到标签+ buf 为ASCII码到 冲区+ GCI 求制定址的汇编 令息+ call 调用标签子程序,用RET返回+ TICK 脚 运行时+ 脚本行编辑功能+ 如 脚本重新引导,脚本 点 在行不变,fi 保持* findcmds 误* 一些小的BUG V1.54(2007/
5、06/01)+GMI 功能扩展,fl可得到如 息MODULEBASE: 模块址MODULESIZE: 模块大小CODEBASE: 代码段址CODESIZE: 代码段大小DATABASE: 据段址RESBASE: 资源段址RESSIZE: 资源段大小IDATATABLE: 输入表址(Base address of import data table)entry: 模块入 nsect: 节目(Number of sections in the module)V1.53(2007/05/03)+ pop,push,test,xchg 令+ findcmds(查找 令序列)* 更官方PLUGIN重新编
6、译,消 DBH,DBS的BUG* 引导/ 行脚本顺序紊乱的重大BUG 复(内部引用NRU MRU混乱),这个BUG困扰了我 版一直有这个BUG,以前不太注 ,最近调试多才 决心解决了这个问题.V1.52# 文 明做了大规模的补充 令解释以例子# 为兼容以前版本的脚本, 了类C的操作 .# 添 了asmtxt(调文本asm文件汇编 写入指定址, asm文件不支持jmp类汇编)+ 添 了bpx,bpd功能( , 调用函 点);+ 添 了opentrace功能(打跟踪)+ 添 了setoption功能(调设置菜单)+ 添 了GAPI功能(判 指定址API)+ 添 了READSTR功能(读址 指定大小
7、的 )+ 支持16位寄存器(ax,bx.)+ find 令全 级,可以直接支持变量 内存据以 ,并支持搜索范围+ findop 令全 级,可以直接支持变量 内存据,并支持搜索范围+ 添 了findcmd功能(查找 令);* 编辑变量量不能大于50的问题* var BUG * GN功能 ,以便 GAPI区别* GCMT 误 (感谢VOLX BUG报告)* ASM汇编代码按照最优模式处理, OD汇编处理汇编 同(感谢liuyilin BUG报告)* 一些程序内部Bug调 v1.51 * 内部函(getFLTOperatorPos)重大BUG (感谢FLY,xxxx BUG报告)v1.50 rele
8、ase* an引用的api 误 * len 误 * 一些小的 误+ 添 在脚本 双击高亮功能V1.49# MSG,MSGYN消息框弹回归0.92版模式# NEG,NOT,ROL,ROR 令# (内部 GetBYTEOpValue函)+ 脚本运行 运行到光标处菜单功能(F4)+ GMI DATABASE,RESBASE,RESSIZE的操作+ MUL,DIV 令* 本不准确问题* MOV 冲区崩溃问题* exec/ende不释内存问题* 一些小问题* asm指令 的 误* exec/ende 的 误(script_pos计 误,ende被过 行)v1.48bata (2006-5-20)# MU
9、L,DIV 令# 脚本运行 运行到光标处菜单功能(F4)# 本# 适当的 了一些预判读语句,防 用户 误造 崩溃* BPWM的问题* 一些 定义 误* 一些函的声明 误(CreateOperands=)* 冲区太小,造 OD崩溃.- 一版本的函类 (LogRegNr,Process)3. 文档-在这个版本 ,附了两个脚本例子(tElock098.osc UPX.osc)。 这两个脚本,可以迅速找到 应壳的入 。3.1 语言-OllyScript脚本语言是一个种类汇编的语言。 使用来控制ODbgScript 脚本运行.在 的文档 , “源操作 “目的操作 表示以 含义:- 十六”制常,既有前缀也
10、有 缀。 (例如:是00FF, 而不是 0x00FF 00FFh的式)十”制常,在 缀 点. (例如:100. 128. 也可以是浮点128.56,浮点只能保留小点 2位)- 变量,这个变量必 在使用前用Var”行定义- 32位寄存器 (EAX, EBX, ECX, EDX, ESI, EDI, EBP, ESP, EIP)。16位寄存器 (AX, BX, CX, DX, SI, DI, BP, SP)8位的寄存器(AL, AH, . DL, DH)- 被 来的内存址 (例如:401000 指 内存址为401000 存 据, ecx 指 内存址为寄存器ecx 存 据).- 一个标位,有感 前缀
11、(!CF, !PF, !AF, !ZF, !SF, !DF, !OF)- ,也可 据序列。其 式为: #6A0000# ( 在两个“#” 之),两个“#” 之必 含有一个 。“1234567ABCDEF“- 含“?”通 的 。 如 #6A?00# #6?0000#3.1.1 保留变量-$RESULT-保存某些函的返回 , 如FIND函运行 的 , 。在ODbgScript的脚本调试 , 能 到的变,并 可以 .$VERSION-ODBGScript的版本息,是系 保留变量 .例:cmp $VERSION, “1.47“ / 是 大于 1.47版ja version_above_147 3.1.
12、2 指令-#INC “文件 “ -一个脚本文件 含 一个脚本.就 调用子程序一 .两个脚本 的变量 不能 同.例:#inc “test.txt“ #LOG- 运行指令指令 示在OllyDbg的log , 前都 “”的前缀例:#logADD 目的操作,源操作-源操作与目的操作 ,并 的 保存到目的操作 ,支持 .例: add x, 0F / x=x+Fadd eax, x /eax=eax+xadd 401000, 5 /401000=401000+5浮点 add x,16.50 /x=x+16.50( )add y, “ times“ / 如 在次之前y=“1000“ , 在 行“ 指令之 y
13、=“1000 times“AI-在OllyDbg 行“自动 入 Animate into操作。当于在OllyDbg 按 CTRL+F7例:aiALLOC 大小-内存, 能读/写/ 行.例:alloc 1000 /新内存,大小为1000,返回 $RESULT 内存的 址.free $RESULT, 1000AN 址-指定址处, 代码”行 析。例:an eip / 当于在OllyDbg 按 Ctrl+A键AND 目的操作, 源操作-源操作与目的操作”行辑与操作,并fi 保存到到目的操作 。例: and x, 0F /x=x ( ).例:findcmd 401000, “push eax;mov e
14、ax,edx“ / 找“push eax mov eax,edx“ 令序列FINDOP 址, 查找内容,查找范围-指定址 查找指定一个指令,这个指令是以指定内容为 的。 如 查找 功,址 保存到保留变量$RESULT , $RESULTfi 于 0。查找的 支持通 “?”( 的例子)。注 :findop于是opcode查找,不支持 查找.findop find的区别是findop查找到的必 是opcode.1.52 支持直接变量 内存据例:findop 401000, #61# / find next POPADfindop 401000, #6A?# / find next PUSH of
15、something译 注:一 FIND FINDDOP的区别:址 据 代码00401007 B8 3300 MOV EAX, 330040100C 33F6 XOR ESI, ESIfind 401007, #33# /$RESULT 于401008finddop 401007, #33# /$RESULT 于40100CFINDMEM what , StartAddr- 个内存 在内存 查找指定的内容如 查找 功,址 保存到保留变量$RESULT , $RESULTfi 于 0。查找的 支持通 “?”( 的例子)。Example:findmem #6A00E8# / find a PUSH
16、0 followed by some kind of callfindmem #6A00E8#, 00400000 / search it after address 00400000FREEFREE 址 大小-释ALLOC的内存.Example:alloc 1000free $RESULT, 1000GAPIGAPI 址-得指定代码处的API调用息API息保存到保留变量$RESULT 。如 是一个API函, $RESULT保存API息$RESULT_1保存接 如 kernal32$RESULT_2保存 如 ExitProcess。$RESULT_3保存调用址XXXX( 如 call xxxx
17、x)注 :这个 GN的区别是GN必 指 IAT址而GAPI直接 代码址就可得API有如 是在 处 了 件 点, 点用 句,为 件 点 了代码为CC这 如 不 处的 件 点,fi造 这句不能 好的 别.例:GAPI 401000 (call kernal32.ExitProcess)GAPI EIP /查当前代码是 是API调用,不是 返回0GCMT addr-得指定址处的解释GCI addr, info-得制定址的汇编指令息“info“ can be :- 汇编指令 (like OPCODE)- 目标址 of jump/call/return- 令currency1OPCODE- TYPE f
18、or asm command string (one of C_xxx, see OllyDbg Plugin API)GMEMI addr, info-得指定址处内存的息.息可以是 MEMORYBASE, MEMORYSIZE or MEMORYOWNERExample:GMEMI addr, MEMORYBASE / After this $RESULT is the address to the memory base of the memory block to which addr belongsGMI 址, 息-得指定址 在模块的 关息。“息 可以是MODULEBASE: 模块址(
19、base address of module in the memory space of debugged process)MODULESIZE: 模块大小(total size occupied by module, not necessarily contiguous memory)CODEBASE: 代码段址CODESIZE: 代码段大小(size of executable code, as stays in COFF header. In some cases, OllyDbg may correct definitely invalid code size)DATABASE: 据
20、段址RESBASE: 资源段址RESSIZE: 资源段大小IDATATABLE: 输入表址(base address of import data table, as stays in COFF header)entry: 模块入 (ddress of modules entry point, as stays in COFF header)nsect: 节目(Number of sections in the module)(如 您 在fi来的版本 ,得更多的息,联系我)。息 保存到保留变量$RESULT (如 有找到息, $RESULT 于0).例:GMI eip, CODEBASE /
21、这 指令 行 ,$RESULT 于当前 在模块的代码段址。GN 址-得指定IAT址的 如指 API函。fi保存到保留变量$RESULT 。如 是一个API函, $RESULT是 $RESULT_1保存接 如 kernal32$RESULT_2保存 如 ExitProcess。例:gn 450100GO 址-行到指定址处 例:go 401005GPA 函 , 动 接 -在指定的动 接 ,得指定函的址。如 查找 功,址 保存到保留变量$RESULT , $RESULTfi 于 0。在设置API函 点时,这个指令常有效。例:gpa “MessageBoxA“, “user32.dll“ / 这 指令
22、 行 ,$RESULT 于函MessageBoxA的址,您可以使用“bp $RESULT“设置 点。GPI key-得”程的息.这个息可以是HPROCESS,PROCESSID,HMAINTHREAD,MAINTHREADID,MAINBASE,PROCESSNAME,EXEFILENAME,CURRENTDIR,SYSTEMDIRGPP key-find API parameters number and typesHANDLE x, y, class-返回指定点(16”制)子 指定类的句 INC 变量-变量”行 一操作例:inc vITOA n , base=16.-一个 到 在 $RES
23、ULT Example:itoa Fitoa 10., 10.JA 标签-在cmp 令 使用. 其 应的汇编指令作用 同.例:ja SOME_LABELJAE 标签-cmp. 其 应的汇编指令作用 同.例:jae SOME_LABELJB 标签-在cmp 令 使用. 其 应的汇编指令作用 同.例:jb SOME_LABELJBE 标签-在cmp 令 使用。 其 应的汇编指令作用 同.例:jbe SOME_LABELJE 标签-在cmp 令 使用. 其 应的汇编指令作用 同.例:je SOME_LABELJMP 标签-到指定标签.例:jmp SOME_LABELJNE 标签-在cmp 令 使用.
24、 其 应的汇编指令作用 同.例:jne SOME_LABELKEY vkcode , shift , ctrl-按 键.Example:key 20key 20, 1 /Shift+spacekey 20, 0, 1 /Ctrl+spaceLBL 址, -在指定址处插入一个标签例:lbl eip, “NiceJump“LC-理LOG LCLR-理Script Log LEN str-得 currency1, 在$RESULTExample:len “NiceJump“msg $RESULTLM addr, size, filename-引导Dm文件”内存Example:lm 0x401000,
25、 0x100, “test.bin“LOG 源操作-fi源操作输到OllyDbg的 log window 。如 源操作 是一个 常量, 。如 源操作 是一个变量 一个寄存器, 其存的 例:log “Hello world“ / 为 “Hello world“var xmov x, 10log x / 为 “x = 00000010“ MOV 目的操作, 源操作,最大 节-fi源操作动到目的操作 。源操作可以是一个十六”制序列 式#某个十六”制序列#,例如:#1234#。:十六”制序列的位只能是 , 如2, 4, 6, 8 。例: mov x, 0F /fiF 变量xmov y, “Hello
26、world“ /fi “Hello world“ 变量ymov eax, ecx /同汇编mov ecx, #00DEAD00BEEF00# /fi#内的内容 到ecx的址 mov !CF, 1 / !CF标寄存器为1mov !DF, !PF /fi!PF !DFmov 403000, “Hello world“ /直接fi “Hello world“ 到403000的址 mov eax,401000,1 /只401000址 的一个 节currency1的内容 到eax (新功能)MSG 消息-fi指定消息, 示到一个 框 。例:MSG “脚本“MSGYN message-fi指定消息, 示到
27、一个 框 ,这个 框有“是 “ 按。如 点“是 ,保留变量 $RESULT 于1, 保留变量$RESULT 于0 。例:MSGYN “ “MUL 目的操作, 源操作-源操作与目的操作”行 操作,并fi 保存到到目的操作 。例: mul x, 0Fmul eax, xmul 401000, 5NEG 操作-操作做补操作,并fi 保存到到操作 。例: NEG x, 0FNEG eaxNEG 401000NOT 操作-操作做辑操作,并fi 保存到到操作 。例: NOT x, 0FNOT eaxNOT 401000OPCODE addr-汇编指定址处的代码.$RESULT是opcode$RESULT_
28、1是汇编代码$RESULT_2是 节如 不是opcode,$RESULT_2fi返回0Example: opcode 00401000opentrace-打运行跟踪功能,关 使用TCOR 目的操作, 源操作-源操作 目的操作做辑 操作,并fi 保存到到目的操作 。例: or x, 0For eax, xor 401000, 5PAUSE-脚本运行。可以通过插件菜单复脚本运行。例:pausePREOP addr-回溯指定址的汇编 令注 : 这个 令并不能 的 映EIP前的 含jmp的 令Example:preop eipREADSTR addr,maxsize-addr处读指定大小的 Examp
29、le:readstr 401000,15REF addr-当于在OllyDbg按 Ctrl R.$RESULT variable is set to the first reference addr $RESULT_1 to the opcode (text asm command) $RESULT_2 to the comment (like reference window). Repeat “REF addr“ until $RESULT=0 to get next refsExample:continue:REF eiplog $RESULTlog $RESULT_1log $RESU
30、LT_2cmp $RESULT,0jne continueREPL addr, find, repl, len-REPL 址, 查找 , , currency1-在指定址 ,在指定currency1的 节范围内,用“ “查找 。允许使用通 例:repl eip, #6a00#, #6b00#, 10repl eip, #?00#, #?01#, 10repl 401000, #41#, #90#, 1FREset-RET-退脚本。例:retREV-节 .(注 是 节 ,不是位 )Example:rev 01020304 /$RESULT = 04030201ROL 目的操作, n-循 左目的操
31、作,n 特位 并fi 保存到到目的操作 。例:mov x, 00000010ROL x, 8 / x is now 00001000ROR 目的操作, n-循 右目的操作,n 特位 并fi 保存到到目的操作 。例:mov x, 00000010ROR x, 8 RTR-行到返回当于在OllyDbg 行 “Run to return“ Ctrl+F9操作。例:rtrRTU-返回到用户代码区当于在OllyDbg 行 “Run to user code“Alt+F9 操作。例:rtuRUN-OD 运行当于在OllyDbg 按 F9。例:runSCMP dest, src-. Example: cmp
32、 x, “KERNEL32.DLL“cmp eax, “Hello World“SCMPI dest, src-(大小写不感)Example: cmp sVar, “KERNEL32.DLL“cmp eax, “Hello World“SETOPTION-调调试设置(Option)菜单,设置好 按确定 行脚本注 : 是为了可以在 行脚本的过程 可以调调试设置常,跟踪 设置SHL 目的操作, n-左目的操作,n 特位 并fi 保存到到目的操作 。例:mov x, 00000010shl x, 8 / x is now 00001000SHR 目的操作, n-右目的操作,n 特位 并fi 保存到到
33、目的操作 。例:mov x, 00001000shr x, 8 / x is now 00000010STI-当于在OllyDbg 按 F7,单 入。例:stiSTO-当于在OllyDbg 按 F8,单 过。例:stoSUB dest, src-源据 目的据Example: sub x, 0Fsub eax, xsub 401000, 5TC-当于在OllyDbg “关 运行跟踪“Example:tcTI-当于在OllyDbg 按 CTRL-F7,单 跟踪。Example:tiTICND cond-行 “Trace into“ 操作,直到 件为 时 。例:ticnd “eip 40100A“
34、/ 当 eip 40100A 时 TICK var ,reftime-脚 运行时(microsec)如 是2次变量, 得为时差Example:tick timemsg time /time since script startuptick time,timemsg $RESULT /time since last TICK, DWORD valueTO-当于在OllyDbg 行 “Trace over“ 操作。例:toTOCND cond-行 “Trace over“ 操作,直到 件为 时 。例:tocnd “eip 40100A“ / 当 eip 40100A 时 VAR-在脚本 ,声明一个
35、变量。必 在变量使用 声明。注 :变量 最好是 母 组 的容易 别的变量 +-*/ 最好不要附 在变量 ,以 引 不可预 的 误于为了兼容以前的系 ,不要fiA,B,C,D,E,F作为变量.例: var tmpXOR 目的操作, 源操作-源操作与目的操作”行 操作,并fi 保存到到目的操作 。例: xor x, 0Fxor eax, xxor 401000, 5WRT file, data-写据 文件 (覆盖)Numbers are wrote as strings. for the momentExample: wrt “out.txt“, “Data:rnOkrn“wrt sFile, e
36、bxWRTA file, data-附 据到文件 (文件 )Example: wrta sFile, “hello worldrn“3.2 标签-定义标签,要在标签 要 一个冒 .例:SOME_LABEL:3.3 注释-您可以使用“/”在“何方”行注释。块注释必 一行并以 “/*”做为 ,以“*/”作为 束,“*/”也必 一行。例:/*您的注释*/3.4 菜单-ODBGScript的主菜单 含了 几 :- Run script.运行脚本.: 用户 一个脚本,并运行这个脚本。- Abort : 脚本运行- Pause : 脚本运行- Resume复: 复脚本运行-脚本运行 :动 脚本运行-脚本
37、: 脚本运行情况- About 关于: 示 插件息3.5 Script Window-脚本 是ODbgScript内置的,能 调试 的脚本.能在这 为脚本设置 点,调试脚本,编辑变量能 工 行脚本 令4. 嵌入其他的插件-您可以在您的插件 调用OllyScrip,并 运行一个脚本。使用类似于 的代码”行调用:HMODULE hMod = GetModuleHandle(“OllyScript.dll“);if(hMod) / 检 是 被其他插件 / 得输函址int (*pFunc)(char*) = (int (*)(char*) GetProcAddress(hMod, “ExecuteSc
38、ript“);if(pFunc) / 检查是 得输函pFunc(“myscript.txt“); / 行输函5. 疑难解释 技巧-在使用 ,有一些语句 难以理解 使用,这 fi”行部 的解释.Q:为 我使用一些脚本,var -x1这句要挂 OD?A:变量 最好是 母 组 的容易 别的变量 +-*/? 最好不要附 在变量 ,以 引 不可预 的 误于为了兼容以前的系 ,不要fiA,B,C,D,E,F作为变量(系 容易 16”制abcdef混淆).Q:我能仅仅401000 的一个 节? A:mov语句在这个版本 功能做了巨大的扩充, 以前的版本最大的区别是 了 fl个(size),也就是 定 的最大
39、 节.这 可以内存 “ 存 .Q:EOB,EOE功能我常常混淆,以使用 感觉 困,能解释?A:eob,eoe功能是 常的 功能,当脚本 行到 常 ,可以指定脚本 自 设定的标签处,主要是为了”行 程的 . 如判别版本 , 应的标签处理脚本处. 于ODBGscript程序设计的, 必 设置好eob,eoe的 处run.这个 我们常规的辑有点 ,我们常常喜欢设计 为run 设定eob,eoe.其 也好理解, 必 声明 要 的方脚本触 设定的 件,而不是 触了 件在找 要求的标签处.Q:某些情况 ,我 要直接 OD来 行自 希望的代码,怎 fl呢?A:脚本不是 能的,常常 要自 写一些汇编代码来 行
40、,currency1,我们可以找一些程序空白处,用mov addr,#xxxxxxxxxxxx#这 的语句来fi自 的代码入 应的址, 当前的EIP, mov eip,addr,也就是fi程序的 程 自 的代码处, 行自 的代码“毕 ,可以fiEIP 回程序的址, 住保存fl, 到了OD直接 行 的代码,currency1 必 为 的代码负责.ODbgscript并不 保存fl.Q:find,findop,findmem好 有 区别,能告诉我们 的区别?A:这fl句都是在内存 找据,不同的是.find仅仅找到 应的匹 关系的址findop要找的是OPCODE 匹 的址,也就是找到的址必 是OP
41、CODE匹 处.找方式 find“全不同, fi一小节一小节的fi据为opcode, ”行匹 查找.这句 find 能 好鉴别 指令.findmem找的是在指定的节址处 匹 的关系. 如.data节处Q:eval这句是 思?A:eval是计含义变量的表式,变量必 在脚本 声明。插到 时,要在大 , 保存在保留变量$RESULT .这句 其语句 fi 多的变,用好fi 的脚本十 .这 当于变 了变量的变量.好好掌握并 运用,fi 的脚本来 穷的变.如fl在的壳常常运用了多 变,而用好这句, fi有了有的武器.Q:GAPI GN的区别是 ?A:GAPI是求代码处的API息而GN是 IAT址处的AP
42、I息.Q:opcde的用处A:我们 道,fl在的壳常常使用动 解码,而这句就是 付动 解码的有力武器opcode 汇编指定址处的代码,如 opcode 指定的代码 ,currency1 就能牢牢的盯住动 解码的 程 .Q:我能调试我的脚本?A:在odbgscript版本以前的ollyscript 0.92版本 , 只能凭直觉来写脚本,造 写脚本的效 低,而新的ODBGscript 版本 , 有了一个脚本 ,能 好的监 到脚本的运行 ,并 能单 行 的脚本,快快使用 大的脚本调试功能吧, 得单 行是在脚本 按“s“键,空 就是脚本跑.能在这 为脚本设置 点,调试脚本,编辑变量能 工 行脚本 令Q:脚本有 好处, 脱壳机以补丁 有 好处?A:脚本最大的好处就是 能根据脚本的思路来掌握 件的思路.脚本能 的工作轻松多, 论是 在调试程序是脱壳 做逆 工作.而脱壳机 补丁严 的 制 应程序的版本,而脚本来 做常常简单的添 就能 好的适应不同的版本.当 这个前是 能掌握的使用.某种 义 ,脚本是OD动作的重复播, 以,掌握OD的 弱也就 影响 编写 使用ODBGscript的能力.Q:Ollyscript ODBGscript有 区别?A:Ollys
