Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Вопросы новичка по OllyDbg
Посл.ответ Сообщение

Ранг: 15.0 (новичок)
Статус: Участник

Создано: 1 ноября 2018 14:43 · Поправил: rukop84 New!
Цитата · Личное сообщение · #1

Здравствуйте, ув. знатоки! Решил потренироваться в ручной распаковке старой версии .Nеt Reactor'а. Cracme и мануал по распаковке взяты с форума tuts4you.

Ссылка на страницу форума:
--> Link <--

Ссылка на крэкми:
--> Link <--

Дак вот, при запуске программы в OllyDbg'е выбрасывает на определенный участок кода и дальше ничего не происходит. Понятно, что в программе используется антиотладочные механизмы. Использование плагинов для скрытия отладчика OllyDbg ничего не дали. Были протестированы следующие плагины ScallaHide v.1.4 и патч OllyDbg Hide Tools v.1.2

Вопросы следующие:
1. посоветуйте, пожалуйста, плагины для обхода антиотладочных методов в конкретном случае, желательно для OllyDbg v.2.01
2. озвучьте, пожалуйста, какие именно приемы антиотладки использует .Net Reactor v.4.9


Ранг: 326.8 (мудрец)
Статус: Участник

Создано: 1 ноября 2018 21:32 New!
Цитата · Личное сообщение · #2

rukop84

Эти ваши ссылки ведут вникуда. Залейте что бы можно было скачать.

Ранг: 15.0 (новичок)
Статус: Участник

Создано: 2 ноября 2018 08:21 New!
Цитата · Личное сообщение · #3

Спасибо, что откликнулись. Вот прикрепленный файл крэкми:

{ Атач доступен только для участников форума } - Cra'ckMe.zip


Ранг: 326.8 (мудрец)
Статус: Участник

Создано: 2 ноября 2018 14:10 New!
Цитата · Личное сообщение · #4

rukop84

Я собрался использовать спец инструменты, что бы посмотреть что же оно там интересного делает по сервисам для антидебага, но получился полный облом - оно запускается под олли(1.10) без каких либо плагинов

Перед использованием чего либо следует ознакомиться с инструкцией. Тоесть вы не добавили в отладчике исключение в список пропускаемых и даже не смотрите на сообщения отладчика, чётко же сказано что нужно SH+F9 жать что бы дальше продолжить работу, просто ппц.

Вам по мойму незачем с таким подходом вообще всем этим заниматься. Полная не способность к самостоятельной работе, да даже не способность жать кнопки в инструменте. Крякми для того и делают что бы их решать, а не бежать на форумы за помощью по ним, это же не соревнование.

Ранг: 15.0 (новичок)
Статус: Участник

Создано: 2 ноября 2018 14:18 · Поправил: rukop84 New!
Цитата · Личное сообщение · #5

о-о-о, все гораздо проще, чем я думал. Спасибо, что наставили на путь истинный.

По поводу того, что я упустил из вида маленький нюанс - не злитесь, тут новички

Ранг: 1.0 (гость)
Статус: Участник

Создано: 17 февраля 2019 16:15 New!
Цитата · Личное сообщение · #6

Здравствуйте хотел узнать у профессионалов, вопрос по поводу программы:
когда я открываю программу GSM пеленгатор в Ollydbg не работают клавиши f7 f8, как это исправить или какими еще клавишами заменить, чтобы одна только исполняла код последовательно по строчно не входя внутрь, а другая клавиша именно входила внутрь функции, то есть это все нужно для того чтобы найти функцию которая выводит окно с просьбой ввести ключ активации, я новичок в этом деле ничего не понимаю просьба, если мой вопрос понятен, объяснить по подробней.


Ранг: 571.5 (!)
Статус: Участник
_Вечный_Студент_

Создано: 17 февраля 2019 18:53 · Поправил: plutos New!
Цитата · Личное сообщение · #7

gjkyu пишет:
в этом деле ничего не понимаю


ну так может нужно изучить основы, а не браться жать клавиши?
Тут же есть раздел --> "Новичку", <--вот и начните с него. многие вопросы отпадут.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 17 февраля 2019 23:39 New!
Цитата · Личное сообщение · #8

За ссылку спасибо, но я уже начал изучать и я больше понимаю на практике, а так слишком много теории не люблю, но вот возник у меня другой вопрос, после отключения того, что оля распознает диссемблировский код как данные, в строке появляются ??? вопроса, как бы неизвестная команда, что с ними делать, как убрать, подскажите пожалуйста, на форуме не нашел в яндексе тоже ничего..


Ранг: 326.8 (мудрец)
Статус: Участник

Создано: 18 февраля 2019 01:44 · Поправил: difexacaw New!
Цитата · Личное сообщение · #9

gjkyu

Правой кнопкой мышки нажми и выбери что бы данный отображались как код. Или это из меню делается, я точно не помню, разберёшься.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 18 февраля 2019 01:58 New!
Цитата · Личное сообщение · #10

Я писал, я специально выбрал правой кнопкой мыши, анализ-удалить (чтобы в диссасемблированном коде программа не распознавали программные строки как данные), вот и появились красные ???, если я опять правой кнопкой мыши сделаю, чтобы обратно отображался как код, то он снова начнет анализировать как данные.


Ранг: 246.0 (наставник)
Статус: Участник

Создано: 18 февраля 2019 08:14 New!
Цитата · Личное сообщение · #11

gjkyu пишет:
если я опять правой кнопкой мыши сделаю, чтобы обратно отображался как код, то он снова начнет анализировать как данные

При дизассемблировании по значениям байт определяется формат инструкции, подразумевающий в том числе ее длину, затем дизассемблируются данные по следующему адресу за этой длиной. Нет способа определить попал ли ты в первый байт инструкции или в середину или вообще в данные, ольга этого не определит. Так что ничего с этим не делай, достоверно только то, что по eip находится и то не всегда.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 18 февраля 2019 13:59 New!
Цитата · Личное сообщение · #12

При дизассемблировании по значениям байт определяется формат инструкции, подразумевающий в том числе ее длину, затем дизассемблируются данные по следующему адресу за этой длиной. Нет способа определить попал ли ты в первый байт инструкции или в середину или вообще в данные


а вы не могли бы эту часть сообщения объяснить по подробней, честно говоря ничего не понял
и что такое iep? буду благодарен за объяснения простыми словами


Ранг: 571.5 (!)
Статус: Участник
_Вечный_Студент_

Создано: 18 февраля 2019 14:08 · Поправил: plutos New!
Цитата · Личное сообщение · #13

каждый opcode состоит из набора "полей":
• Prefix,
• 0F 0F Prefix
• po Primary Opcode
• so Secondary Opcode
• flds Opcode Fields
• o Register/Opcode Field
• proc Introduced with Processor
• st Documentation Status
• m Mode of Operation
• rl Ring Level

и так далее. Каждое поле имеет свою длину и значение.
Подробнее --> тут <--


--> A Beginners’ Guide to x86-64 Instruction Encoding<--

--> Opcode structure<--


Ранг: 246.0 (наставник)
Статус: Участник

Создано: 18 февраля 2019 14:20 New!
Цитата · Личное сообщение · #14

gjkyu пишет:
что такое eip?
Extended Instruction Pointer. Регистр, содержащий адрес текущей инструкции. Простыми словами - ольга просто дизассемблирует что дают, каких-то убер-сложных техник анализа не использует. Возможности выделить в коде отдельные инструкции нету, поэтому она это делает "на глаз". Скорей всего ты роешься в пакере/протекторе, где намеренно код выстроен так, чтобы он плохо читался. Насколько я знаю, в ольге с этим ничего сделать нельзя.


Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 18 февраля 2019 15:45 · Поправил: Boostyq New!
Цитата · Личное сообщение · #15

gjkyu пишет:
а вы не могли бы эту часть сообщения объяснить по подробней, честно говоря ничего не понял
и что такое iep? буду благодарен за объяснения простыми словами

EIP это 32-битный регистр который указывает на текущую инструкцию
Вообще самая подробная информация об архитектуре есть только у вендоров, это мануалы интела и амд
Но не налегайте на них сразу, во первых они на английском, во вторых они очень объемные и подробные
Таким образом, если вы не собираетесь копать очень глубоко, то они вам и не нужны
Стоит сказать, что есть куча всякий сайтов, которые тем или иным образом парсят мануалы, кто-то пытался даже переводить, затея бестолковая, тем не менее по старым инструкциям можно найти на русском
Таким образом любая информация в интернете изначально взята из мануалов, она просто реструктурирована
Сейчас есть огромное количество расширений для архитектуры и их число будет только расти, для базового уровня вам нужно знать общего назначения, fpu, mmx, sse, возможно avx, более новые инструкции пока что очень редкие в таргетах, но со временем они конечно будут появляться
Если хотите подробные таблицы, то неплохие есть на sandpile.org
Если нужен подробный список, то ref.x86asm.net
Если хотите увидеть прямо псевдокод инструкции, то только в мануалах
Попробуйте вначале почитать статьи на русском, например club155.ru

| Сообщение посчитали полезным: morgot


Ранг: 1.0 (гость)
Статус: Участник

Создано: 21 февраля 2019 02:37 New!
Цитата · Личное сообщение · #16

здравствуйте, а не мог ли бы мне объяснить кто нибудь, что такое полиморфизм, много уже прочитал в яндексе, примеров не так много, напишите пожалуйста на примере небольшого кода, только я пока синтаксиса не знаю, если можно каждую строку с понятным, простым комментарием (Delphi)


Ранг: 571.5 (!)
Статус: Участник
_Вечный_Студент_

Создано: 21 февраля 2019 03:08 · Поправил: plutos New!
Цитата · Личное сообщение · #17

gjkyu пишет:
а не мог ли бы мне объяснить кто нибудь, что такое полиморфизм



Как говорил т.Швондер: "Это какой-то позор!"

Взял из твоего же сообщения фразу "что такое полиморфизм", поместил в google search engine, и на тебе!

About 133,000 results (0.41 seconds) Кто бы мог подумать!

Да вот хотя бы: https://habr.com/ru/post/37576/ все --> разжевано<--, и что дорого - на русском языке!

Так что если лениво или тупо самому искать, то скорее всего reverse engineering (RE), это не ваше.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 21 февраля 2019 17:51 New!
Цитата · Личное сообщение · #18

plutos пишет:
Да вот хотя бы: https://habr.com/ru/post/37576/ все --> разжевано<--,


там на php написано, ну в принципе одно и тоже имя метода можно применять к объектам порожденных классов, от базового класса
 eXeL@B —› Вопросы новичков —› Вопросы новичка по OllyDbg
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ