动态分析技术中最重要的工具是调试器,分为用户模式和内核模式两种类型:
- 用户模式调试器:用来调试用户模式应用程序的调试器,工作在Ring3级。例如,OllyDbg、x64dbg、VC++等编译器自带的调试器
- 内核模式调试器:能调试操作系统内核的调试器。例如,WinDbg
Ring3级
OllyDbg
OllyDbg(OD)是一款具有可视化界面的用户模式调试器,可以运行在各个版本的Windows上,但NT架构更加稳定。它结合了动态调试和静态分析,具有GUI界面,非常容易上手,对异常的跟踪处理相当灵活。