eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rmn, viksabur (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› OllyDBG Кастомные метки или Алиесы операндов
Посл.ответ Сообщение

Ранг: 1.5 (гость)
Статус: Участник

Создано: 19 июля 2009 00:10 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

Не знаю есть такой плаг или функция, чтобы за место операндов в листинге были метки.
Например
CMP BYTE PTR DS:[4046F8],0
заменялось на
CMP BYTE SN,0 или CMP BYTE serial,0
то есть SN=PTR DS:[4046F8]
На написание этого поста меня сподвигла рябь в глазах после повторения строк типа
DWORD PTR SS:[EBP-50] и DWORD PTR SS:[EBP-10]
Обдуманые метки думаю лучше чем длиный набор повторяющихся символов.
Теперь можете бить

От модератора: подучи русский язык!


Ранг: 656.2 (! !)
Статус: Участник
CyberMonk

Создано: 19 июля 2009 00:41 · Поправил: mak New!
Цитата · Личное сообщение · #2

Code:
  1. 00401055                                           /$  55                          PUSH EBP
  2. 00401056                                           |.  8BEC                        MOV EBP,ESP
  3. 00401058                                           |.  83C4 E0                     ADD ESP,-20
  4. 0040105B                                           |.  8B45 10                     MOV EAX,[ARG.3]
  5. 0040105E                                           |.  8945 E0                     MOV [LOCAL.8],EAX
  6. 00401061                                           |.  8B45 18                     MOV EAX,[ARG.5]
  7. 00401064                                           |.  8945 F8                     MOV [LOCAL.2],EAX
  8. 00401067                                           |.  8B45 14                     MOV EAX,[ARG.4]
  9. 0040106A                                           |.  8945 E4                     MOV [LOCAL.7],EAX
  10. 0040106D                                           |.  8B45 1C                     MOV EAX,[ARG.6]
  11. 00401070                                           |.  8945 E8                     MOV [LOCAL.6],EAX
  12. 00401073                                           |.  8B45 0C                     MOV EAX,[ARG.2]
  13. 00401076                                           |.  8945 F4                     MOV [LOCAL.3],EAX
  14. 00401079                                           |.  8B45 20                     MOV EAX,[ARG.7]
  15. 0040107C                                           |.  8945 EC                     MOV [LOCAL.5],EAX
  16. 0040107F                                           |.  50                          PUSH EAX                                                ; /String = NULL
  17. 00401080                                           |.  E8 6F380000                 CALL <JMP.&kernel32.lstrlenA>                           ; \lstrlenA
  18. 00401085                                           |.  8945 F0                     MOV [LOCAL.4],EAX
  19. 00401088                                           |.  8365 FC 00                  AND [LOCAL.1],0
  20. 0040108C                                           |.  8D45 E0                     LEA EAX,[LOCAL.8]
  21. 0040108F                                           |.  50                          PUSH EAX                                                ; /lParam = 0
  22. 00401090                                           |.  FF75 0C                     PUSH [ARG.2]                                            ; |wParam = 0
  23. 00401093                                           |.  68 1B100000                 PUSH 101B                                               ; |Message = MSG(101B)
  24. 00401098                                           |.  FF75 08                     PUSH [ARG.1]                                            ; |hWnd = 401000
  25. 0040109B                                           |.  E8 06380000                 CALL <JMP.&user32.SendMessageA>                         ; \SendMessageA
  26. 004010A0                                           |.  C9                          LEAVE
  27. 004010A1                                           \.  C2 1C00                     RETN 1C
  28.  



Если вот так то это есть в настройках в оли , в меню анализис 1 , показывать аргументы и локальные переменные. Хотя если честно , была задумка сделать плагин , для более детального разбора и коментария.

Аргумет 3 например вот такой там, то что вначале процедуры идет.
Code:
  1. MOV EAX,DWORD PTR SS:[EBP+10]


ЗЫ. Забыл написать помоему все эти меню от плагина анализит, точно не уверен.

Ранг: 617.3 (!)
Статус: Участник

Создано: 19 июля 2009 06:27 New!
Цитата · Личное сообщение · #3

Недавно у арабов вышл плагин ImmLabel, который меняет адреса на какие-нибудь названия типа jnz loop1, call generate, CMP BYTE PTR DS:[SN],0. но с [EBP-50] и тд он вроде не работает.



{ Атач доступен только для участников форума } - ImmLabel.dll

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 19 июля 2009 10:18 New!
Цитата · Личное сообщение · #4

Vovan666
А это случайно не для immunity?

Ранг: 617.3 (!)
Статус: Участник

Создано: 19 июля 2009 10:25 New!
Цитата · Личное сообщение · #5

Случайно нет...

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 19 июля 2009 10:51 New!
Цитата · Личное сообщение · #6

В таком случае как его запустить? На чистой (без других плагов) стандартной оле жму Settings и в строке состояния получаю Not implemented yet

Ранг: 617.3 (!)
Статус: Участник

Создано: 19 июля 2009 11:32 · Поправил: Vovan666 New!
Цитата · Личное сообщение · #7

дык в олю надо сначала загрузить кого-нибудь, а потом уже кнопочки тыкать. и тыкать не через меню-плагины, а через правую кнопку мыша.

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 19 июля 2009 11:39 New!
Цитата · Личное сообщение · #8

Загружено, конечно , забыл про менюшки , спасибо


Ранг: 656.2 (! !)
Статус: Участник
CyberMonk

Создано: 19 июля 2009 12:02 New!
Цитата · Личное сообщение · #9

Vovan666 интересный плагин , нагляднее можно код рипать. Мелочь а приятно )

Ранг: 129.7 (ветеран)
Статус: Участник

Создано: 19 июля 2009 15:39 New!
Цитата · Личное сообщение · #10

Раз уж пошла такая пьянка...
Кто-нибудь знает как называется плагин для оли, который позволяет вставить в листинг метки из DeDe (типа TForm.Create)? Точно знаю что такой есть, а найти не могу.

Ранг: 617.3 (!)
Статус: Участник

Создано: 19 июля 2009 15:44 New!
Цитата · Личное сообщение · #11

Azur1d пишет:
Кто-нибудь знает как называется плагин для оли, который позволяет вставить в листинг метки из DeDe (типа TForm.Create)? Точно знаю что такой есть, а найти не могу.


Find Point E

{ Атач доступен только для участников форума } - Point E(eng).dll

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 19 июля 2009 16:11 New!
Цитата · Личное сообщение · #12

Не, PointE самостоятельно ищет точки событий, а Map-файл из dede применяется с помощью Godup. Есть еще пара других, которые делают то же самое, но Godup более универсален, можно еще сигны от IDA применять.

Ранг: 1.5 (гость)
Статус: Участник

Создано: 19 июля 2009 19:43 New!
Цитата · Личное сообщение · #13

mak Полезная опция, знал про нее.
Vovan666 Хороший плаг. Буду следить за развитием.
Спасибо за отклики, но нужного так и не нашел. Хотя надеюсь на ImmLabel.dll старших версий или на появление отечественного аналога.
Модератору: Буду учить... после асма.


Ранг: 154.2 (ветеран)
Статус: Участник
REVENGE Crew

Создано: 19 июля 2009 20:47 · Поправил: kioresk New!
Цитата · Личное сообщение · #14

Craz,

как раз для этого в OllyDbg и предназначены метки (label):

Перейди в окне данных по нужному тебе адресу (правая кнопка на инструкции — «Follow in Dump» — «Memory Address») и добавь метку к выделенной ячейке с данными (правая кнопка на выделении — «Label»).

После этого в коде вместо адреса будет отображаться заданная тобой метка.


Постскриптум

Изучайте лучше возможности используемых вами инструментов, это во многом облегчит вашу работу.

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 19 июля 2009 20:54 New!
Цитата · Личное сообщение · #15

kioresk
Как мне кажется, топикстартер хочет, чтобы метки проставились автоматом.

Ранг: 1.5 (гость)
Статус: Участник

Создано: 20 июля 2009 00:17 New!
Цитата · Личное сообщение · #16

kioresk Да, эта функция мне известна.
Мне нужно чтобы выражения типа
DWORD PTR SS:[EBP-10] заменялись на лэйблы во всем коде т.е. было
MOV EAX, DWORD PTR SS:[EBP-10]
стало:
MOV EAX, SN
P.S. SN - моя метка, которая заменяет DWORD PTR SS:[EBP-10].
Если так понятнее...


Ранг: 520.5 (!)
Статус: Участник
Победитель турнира 2010

Создано: 20 июля 2009 08:35 New!
Цитата · Личное сообщение · #17

Craz пишет:
заменялись на лэйблы во всем коде


Бред, SS:[EBP-хх] - доступ к локальной переменной в стеке и если в одной функции это "SN - моя метка", то в другой...
Буду учить... после асма - значит усердней учи асм...

Ранг: 1.5 (гость)
Статус: Участник

Создано: 20 июля 2009 14:25 New!
Цитата · Личное сообщение · #18

OKOB Я не Бред и тем более не Пит

OKOB пишет:
если в одной функции это "SN - моя метка", то в другой...

Что там в другой функции - не очень интерисует.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 20 июля 2009 16:20 New!
Цитата · Личное сообщение · #19

Craz пишет:
Что там в другой функции - не очень интерисует.

это ты зря, если в твоем случае проверка не выходит за пределы одной ф-ии, то тебе ясное дело пох, а зачастую проверка не ограничивает одной ф-ей

Ранг: 1.5 (гость)
Статус: Участник

Создано: 20 июля 2009 16:32 New!
Цитата · Личное сообщение · #20

BoRoV Согласен, немного погорячился. Ну тогда можно заменять значения на промежутке адресов.
Но это так к примеру, если кто-то захочет реализовать идею, так как на данный момент мои знания не позволяют этого сделать.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 20 июля 2009 19:21 · Поправил: BoRoV New!
Цитата · Личное сообщение · #21

может я чегото не понимаю, но как сделать с так как показано в мувике к ImmLabel, чтобы оно переименовывало не только адрес в инструкции, а и адрес в поле адресов?


Ранг: 755.8 (! !)
Статус: Участник
Student

Создано: 20 июля 2009 21:05 New!
Цитата · Личное сообщение · #22

Craz пишет:
т.е. былоMOV EAX, DWORD PTR SS:[EBP-10] стало:MOV EAX, SN

OKOB пишет:
Бред

+1
изменится EBP и все "твои метки" идут лесом... Вряд ли ты такой плаг найдёшь
лучше бери листинг из иды и меняй что хочешь, как нравится

Ранг: 1.5 (гость)
Статус: Участник

Создано: 20 июля 2009 23:55 New!
Цитата · Личное сообщение · #23

Значит по-старинке, коменты добавлять.

Ранг: 129.7 (ветеран)
Статус: Участник

Создано: 21 июля 2009 00:05 New!
Цитата · Личное сообщение · #24

SVLab,Vovan666, Спасибо за инфу.
 eXeL@B —› Крэки, обсуждения —› OllyDBG Кастомные метки или Алиесы операндов

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS