Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Еще раз об установке брейкпоинта на точке входа

Обсудить статью на форуме

Очень удобно, когда все крэкерские инструменты, книги и статьи в одном месте. Используйте сборник от EXELAB - вот тут.

Автор: bi0w0rM <bioworm@mail.ru>

Статья Алексея на эту тему имеет ценность только в w9x. Он лишь дал адрес, отсчитанный от какой-то API, нерассказывая даже, как он его получил... Поэтому на системах, отличных от Windows 98(помоему у него именно 98, да?:)) его вариант не прокатит точно...
В принципе я не знаю, что тут рассказывать.. Всё ведь предельно просто. Надо лишь немного разобраться.
Давайте прервемся в SoftICE на EP нужной нам проги излюбленным методом - через Break’n’Enter в LordPE. Когда прервемся, наберем:
:u *esp

и прокрутим немного вверх (ctrl+<вверх>).

Например ESP сейчас 12FFC4(как у меня), а по адресу 12FFC4 лежит 0x77E7EB69 (сделайте dd esp, если не верите:))

77E7EB56 push4
77E7EB58 lea eax, dword ptr [ebp+8]
77E7EB5B push eax
77E7EB5C push 9
77E7EB5E push -2
77E7EB60 call dword ptr [ntdll!NtSetInformationThread]
77E7EB66 call dword ptr [ebp+8]
77E7EB69 push eax ; <== возврат сюда
77E7EB6A call kernel32!ExitThread
77E7EB6F int3

Отсюда видно, что для попадания на EP используется call dword ptr [ebp+8].
То есть поставив bpx на 77E7EB66 можно ловить создание процессов :)
Этот адрес SoftICE мне зарекомендовал как CreateProcessInternalW+1174.
Так что можно добавлять макрос в winice.dat:

MACRO bp_ep="bpx CreateProcessInternalW+1174 do \"t\""

Когда надо будет словить создание процесса - вводим bp_ep.

Можно также фильтровать через IF отдельно значение EP - например IF *(ebp+8)==401000

bi0w0rM

Обсуждение статьи: Еще раз об установке брейкпоинта на точке входа >>>


Комментарии к статье: Еще раз об установке брейкпоинта на точке входа

Alexey_suicide 23.06.2005 23:59:57
Можно было бы и для Олли запостить в статье...
---

Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS