首先是测试用的程序:
定义一个字符串s,内容为"abc",然后使用字符串比较函数strcmp,如果s与"abc"相同,输出"yes",否则输出"no"。
预期结果为"yes"。使用ollydbg改变标志位ZF的值,使其输出"no"。
使用gcc a.c编译源程序;
打开ollydbg加载a.exe,如下图:
ollydbg分为4个区域,分别是反汇编窗口,寄存器窗口,内存窗口,堆栈窗口。
找到程序的关键部分,在反汇编窗口右键search for -> All referenced text strings查看程序中的字符串。
看到"abc","yes","no"等字符串,双击定位到反汇编窗口。
00401534 |. E8 EF100000 CALL <JMP.&msvcrt.strcmp> ; |\strcmp
在地址00401534处调用strcmp函数来比较字符串,鼠标点击下一行,右键选择New origin here,讲指针EIP的值指向该处,也就是下一个要执行的命令。
按F7单步调试,在寄存器窗口中看到Z标志是0,继续按F7,执行TEST EAX,EAX,Z标志为1。下一个指令是
0040153B |. 75 0E JNZ SHORT a.0040154B ; |
不符合跳转,所以会顺序向下执行,输出"yes"。
这个时候双击Z标志,使其变成0,符合JNZ跳转,所以会跳到输出"no"的部分。
再看程序,此时输出"no",说明改变了程序的执行流程。