Русский / Russian English / Английский

Сейчас на форуме: Lambda
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Вопрос по OllyDebugger (не бейте сильно;)
Посл.ответ Сообщение


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 16:29 New!
Цитата · Личное сообщение · #1

Я стаю на OEP, как мне посмотреть откуда я туда попал (где найти этот jmp OEP/call OEP)


Ранг: 500.5 (!)
Статус: Участник

Создано: 22 ноября 2005 16:31 · Поправил: Smon New!
Цитата · Личное сообщение · #2

Maximus
1) смотри на стек в правом нижнем углу.
2) как вариант - сними дамп и погляди в иде на референс джампы.
3) попробуй retn сделать и если возвратишься в код ниже call'а - значит это не oep


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 16:35 · Поправил: Maximus New!
Цитата · Личное сообщение · #3

Call stack пустой, retn сделал, вывалился на ??? Unknow command
Еще заметил что в eax лежит адрес eip значит вызвается Call eax/jmp eax. Может можно какое нибудь условие поставить?


Ранг: 500.5 (!)
Статус: Участник

Создано: 22 ноября 2005 16:37 · Поправил: Smon New!
Цитата · Личное сообщение · #4

Maximus
А в регистрах что ?

Делай трассировку и потом в журнале поглядишь


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 16:38 New!
Цитата · Личное сообщение · #5

Smon написал)


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 16:42 New!
Цитата · Личное сообщение · #6

Долго очень, программа огромная))

Ранг: 52.6 (постоянный)
Статус: Участник

Создано: 22 ноября 2005 17:12 New!
Цитата · Личное сообщение · #7

Maximus пишет:
Еще заметил что в eax лежит адрес eip значит вызвается Call eax/jmp eax

Здесь тока jmp eax "катит", потомучто Call всегда кладет в стек адрес возврата.

Ранг: 77.1 (постоянный)
Статус: Участник

Создано: 22 ноября 2005 17:33 New!
Цитата · Личное сообщение · #8

могу только по айсу подсказать - в softice bpm oep x и смотришь внизу MSR - там будет LastBranchFromEIP


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 17:39 New!
Цитата · Личное сообщение · #9

вроде LastBranchFromEIP только на AMD работает?

Ранг: 77.1 (постоянный)
Статус: Участник

Создано: 22 ноября 2005 17:49 New!
Цитата · Личное сообщение · #10

Никогда AMD не было, всю жизнь интел юзаю, работает прекрасно.

Под VMware правда нули в этих регистрах получаются.


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 17:54 New!
Цитата · Личное сообщение · #11

Чей та у меня нет такого. Набираю MSR, куча всякой лажи выходит, а LastBranchFromEIP нет

Ранг: 200.3 (наставник)
Статус: Участник

Создано: 22 ноября 2005 18:03 New!
Цитата · Личное сообщение · #12

Maximus пишет:
Я стаю на OEP, как мне посмотреть откуда я туда попал (где найти этот jmp OEP/call OEP)
-х/з что понапишут

Ранг: 77.1 (постоянный)
Статус: Участник

Создано: 22 ноября 2005 18:07 New!
Цитата · Личное сообщение · #13

Maximus пишет:
Чей та у меня нет такого. Набираю MSR, куча всякой лажи выходит, а LastBranchFromEIP нет

Эти регистры у меня выскакивают вместе с брейкпойнтом. Бряк должен быть именно хардварным.

Break due to BPMB XXX
MSR LastBranchToEIP xxx
MSR LastBranchFromEIP xxx

выдает айс когда происходит бряк.


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 18:07 New!
Цитата · Личное сообщение · #14

DrFits лучше бы помог чем флудить
Если не понятен вопрос могу по другому написать
Стою на иснтрукции Push EBP, как мне вычислить с какого адреса я туда попал.

Если нечего писать то лучше не писать вообще

Ранг: 200.3 (наставник)
Статус: Участник

Создано: 22 ноября 2005 18:19 New!
Цитата · Личное сообщение · #15

Maximus пишет:
DrFits лучше бы помог чем флудить
- чем помог? Объяснить как в оле настройки ставить?
Ну тогда если JMP EAX то ИМХО нажми "Go to previos " , иначе поставь в "Options->debug options->events->system breakpoint", вывалишся в самое начало запуска проги (EP) , а затем вручную трассируй


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 18:24 · Поправил: Maximus New!
Цитата · Личное сообщение · #16

Sh[AHT] не выходит...

Break due to BPMB XXX
Потом набираю: MSR LastBranchFronEIP XXX
Вываливается Msr: invalid register


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 ноября 2005 18:34 New!
Цитата · Личное сообщение · #17

DrFits пишет:
а затем вручную трассируй


Распаковывая многомегабайтную программу....

DrFits пишет:
"Go to previos "

Попробовал, меня вернуло как раз на EP

Ранг: 77.1 (постоянный)
Статус: Участник

Создано: 22 ноября 2005 18:36 New!
Цитата · Личное сообщение · #18

Я ничего не набираю. Айс САМ выдает значения MSR при бряке. Если у тебя не выдает, значит у тебя с айсом что-то или с процессором.
 eXeL@B —› Крэки, обсуждения —› Вопрос по OllyDebugger (не бейте сильно;)
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ