• CMDBAR v3.0
  • 标 题:CMDBAR v3.0 命令列表及宏功能相关介绍
  • 作 者:loveboom
  • 时 间:2004年3月02日 10:24
  • 链 接:http://bbs.pediy.com

CMDBAR v3.0 命令列表及宏功能相关介绍
     Author:    Loveboom[DFCG]

? 表达式 计算表达式和CALC一样的
* 和ollydbg的*功能一样,转到eip处
A
 命令    参数        功能介绍
 A      addr,string     在addr处进行汇编
 At     addr             反汇编addr
 Asm    String           把汇编代码string转换成相应的机器码
 AC                      分析代码
B
 Bp    addr,string       在addr处下条件断点,条件为string,string为空时就相当于bpx
 Bpx   string            下所有调用string的断点
 Bpd   string            删除BPX的断点
 BC    addr               删除bp断点
 BRK                     打开断点窗口
C
 C      addr,string       在addr处添加注释string
 Cpu                     打开CPU窗口
 CS                      打开堆栈调用窗口
 Close                   关闭加载的可执行程序,相当于ALT+F2
 Calc    表达式           和?一样的功能
D
 D       addr             在dump栏dump addr处,和dump功能一样
 Dump    addr             同上
 Da     [addr]            在dump栏显示反汇编代码,如果addr写上的话就在dump栏反汇编地址addr
 Db     [addr]            在dump栏显示为HEX byte格式
 Dc     [addr]            以ascii方式显示dump栏
 Dd     [addr]            以堆栈方式显示dump栏
 Du     [addr]            以Unicode方式显示dump栏
 Dw     [addr]            以Hex word格式显示dump栏
 Dasm   string            把机器码转换成相应的汇编代码,和asm相反
E
 Exit                     退出ollydbg和quit一样的功能
F
 Fr                       查找所选命令/地址的所有调用参考.
 Follow  addr             和CTRL+G类似,跟随到addr
G
 G       [addr]           运行到addr处
 Ge      [addr]           忽略异常运行到addr处
H
 H       string           调用相关api函数string的帮助,前提是你已经选择了win32 sdk所在路径.
 Hd      [addr]           删除硬件断点addr,没有写addr就调出硬件断点框
 He      addr             设置硬件执行断点
 Help    string           显示api函数string的帮助,如果没有string就显示cmdbar的帮助
 Hr      addr             设置硬件访问断点
 Hw      addr             设置硬件写断点
L
 L       addr,string      在addr处插入标签string
 Log                      打开log窗口
M
 Mr      addr,[表达式]    内存访问断点,表达式为中断条件
 Mw      addr,[表达式]    内存写断点,表达式为中断条件
 Md                       删除全部内存断点
 Mod                      打开模块窗口相当于ALT+E
 Mem                      打开内存页窗口相当于ALT+M
 Mac     string           执行宏命令,只在新版的cmdbar插件中有。
O
 Orig                     相当于*,回到eip处
 Opt                      打开选项框
 Open    string           打开可执行文件string,相当于F3
P
 Pause                    暂停执行,相当于F12
Q
 Quit                     退出ollydbg
R
 Run                      运行程序相当于F9
 Rst                      重新加载调试的程序,相当于ctrl+f2
S
 Stk    addr              转到地址ADDR指在堆栈栏中
 Stop                     相当于F12、pause
 S                        步进相当于F7
 Si                       同上
 So                       步过,相当于F8
 Sob                      扫描obj文件
 Sn                       打开当调试模块的所有输入输出列表
T
 T       [addr]           跟踪步进直到地址addr 处
 Ti      [addr]           同上
 To      [addr]           跟踪步过直到地址addr处
 Toc     string           跟踪步过直到满足条件string
 Tc      string           跟踪步进直到满足条件string
 Tr                       执行到返回相当于ctrl+f9
 Tu                       执行返回到用户代码相当于ALT+F9
W
 W        string          设置监视表达式string
 Watch    string          同上 

注:[xxxx]的表示可选项.

Cmdbar v3.0新功能宏的相关介绍
简单的说,它的宏功能就相当于N久以前的在DOS下流行的批处理文件.有了它我们可以少做很多重复的事(个人认为脱壳是做重复事最多的了),当然它是没有ollyscripts功能那么强大了(Thanks ShaG)。宏的保存在cmdbar插件的同一目录中的macro.def文件中,宏格式如下(其实就是ini文件的"改装版"):
[DebugPlugin]    //这里就是宏名,调用时为 mac DebugPlugin(宏名)
Line0=BP 492503   //这里的line(x)就是每一次你要做的事,
Line2=G
Line3=AT EAX
Line4=BC 492503
这个宏的意思就是先在492503处下断,然后运行,中断后反汇编eax,取消492503断点.
相关问题:
问题一:宏只会在打开ollydbg时加载,如果加载后你再修改宏文件的话,它是不会认的.
问题二:宏名分大小
附上我的测试unpetite v2.2 unpack macro(mac unpetite,测试OS:win2k adv)和测试程序macro.def、cmdbar.ini及CMDBAR。DLL放在插件目录中.测试程序为我自己写的vb6 程序.
献给所有曾经关心支持和帮助过我的朋友,献给所有crack初学者及DFCG愿它能够蒸蒸日上!

by loveboom[DFCG]
date:2004-3-1