eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› OllyDbg: может ли показывать "декодированные" структуры данных кроме PE Header-а?
Посл.ответ Сообщение

Ранг: 1.4 (гость)
Статус: Участник

Создано: 11 июля 2006 14:16 New!
Цитата · Личное сообщение · #1

Вопрос собственно в subj.
Нет ли какой встроенной (но к сожалению мною не найденной) фичи или плагина для Олли, чтобы в окне дампа (или еще где по его выбору) он отображал "декодированную" структуру наподобие _StartupInfo, также как он делает это с PE Header-ом?

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 12 июля 2006 04:17 New!
Цитата · Личное сообщение · #2

acue, а кстати, замечательная была бы фишка.
Удивляет, что это не входит в стандартные возможности. =$
Если не написано, то обязательно нужно написать плаг, который будет понимать Сишные def'ы или хотя бы MASM'овые.
Помню, к первому апреля я выдумал скрин якобы второй Оли =) и там размечтался, что мол распознаются все win-структуры.
По идее это не должно быть очень сложно в ручном режиме уж точно.
Кажется в PDK такое не описано (смотрел очень бегло).
Однако в чистой OllyDbg 1.10 вывод дампа как структуры PE-header'a происходит здесь:

0048F8C7 |> 68 A4854C00 push OLLYDBG.004C85A4
0048F8CC |. 51 push ecx ; |Arg6
0048F8CD |. 52 push edx ; |Arg5
0048F8CE |. 8B55 14 mov edx, dword ptr ss:[ebp+14] ; |
0048F8D1 |. 52 push edx ; |Arg4
0048F8D2 |. 8B4D 10 mov ecx, dword ptr ss:[ebp+10] ; |
0048F8D5 |. 51 push ecx ; |Arg3
0048F8D6 |. 8B55 0C mov edx, dword ptr ss:[ebp+C] ; |
0048F8D9 |. 52 push edx ; |Arg2
0048F8DA |. 50 push eax ; |Arg1
0048F8DB |. E8 54F0FFFF call OLLYDBG.0048E934 ; \OLLYDBG.0048E934
0048F8E0 |. 83C4 1C add esp, 1C
0048F8E3 |. 5D pop ebp
0048F8E4 \. C3 retn

Верхний параметр, это указатель на данные довольно прозрачного формата.
Думаю, можно эту 0048E934 вызывать и на другие структуры. Хотя, честно говоря, сам не смотрел как она организована.
В экспорте этой функции нет, но это не означает, что её нельзя использовать. =)

ЗЫ Переношу топик в раздел про софт, чтоб все видели.
 eXeL@B —› Софт, инструменты —› OllyDbg: может ли показывать "декодированные" структуры данных кроме PE Header-а?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS