eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Зависает пошаговая трассировка
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 15:35 New!
Цитата · Личное сообщение · #1

При распаковке Pecompact (да и не только его и не только распаковке) Олька частенько бывает грузит проц на все 100, находясь в положении run внутри какого-нибудь вызова, причем надолго. Временами помогает чистить папку udd, но не всегда. Винду только недавно переставлял. Проц приемлемый (2 ядра). В чем может крыться причина?


Ранг: 328.1 (мудрец)
Статус: Участник
born to be evil

Создано: 20 июля 2013 15:59 New!
Цитата · Личное сообщение · #2

albatros
надо начинать, какая олька, какая ОС, какая прога и тп. "почему мой кот лижет яйки по вечерам" - телепаты в отпуске

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 16:07 · Поправил: albatros New!
Цитата · Личное сообщение · #3

понял... хп сп3, олька 1.10, прога обычный анпакми версии 2,70 из коллекции тутс4ю...


Ранг: 328.1 (мудрец)
Статус: Участник
born to be evil

Создано: 20 июля 2013 16:16 · Поправил: ajax New!
Цитата · Личное сообщение · #4

albatros пишет:
да и не только его и не только распаковке

значит, что-то "сидит". не наблюдал на похожей системе подобного. плагины (90%)? плюс, антивири-файрволы тоже считаются


Ранг: 261.1 (наставник)
Статус: Участник
RBC

Создано: 20 июля 2013 16:17 New!
Цитата · Личное сообщение · #5

albatros, pause = run ?

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 16:22 · Поправил: albatros New!
Цитата · Личное сообщение · #6

Kindly не совсем понял суть противоречивого равенства. run есть run. самое непонятное, так это обычно когда долго исполняется программа то нажатием * можно определить, какая команда исполняется в данный момент. Здесь же она будто повисла на одной команде и тупо жрет ресурсы проца( половина олька, а половина сама прога).


Ранг: 1983.5 (!!!!)
Статус: Модератор
retired

Создано: 20 июля 2013 16:43 New!
Цитата · Личное сообщение · #7

Полагаю, он ошибся кнопкой и имел в виду: pause-run. Типа остановить-запустить заново. Бывает, что это выводит ольку из ступора.

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 16:54 New!
Цитата · Личное сообщение · #8

Archer попробовал и так... не хочет ни в какую... на джампе у ольки случается инсульт и она просто насилует проц. может действительно где-то в системе что-то злое гуляет.

Ранг: 239.5 (наставник)
Статус: Участник

Создано: 20 июля 2013 17:29 New!
Цитата · Личное сообщение · #9

Попробуй поставить бряк на том месте, куда ведет джамп, а перед самим джампом нажать run

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 17:53 New!
Цитата · Личное сообщение · #10

TryAga1n ой епть ... теперь стало понятно, почему он никуда дальше не переходит - джамп ссылается сам на себя=))... что-то я не припомню такого прикола в Pecompact


Ранг: 1983.5 (!!!!)
Статус: Модератор
retired

Создано: 20 июля 2013 18:08 New!
Цитата · Личное сообщение · #11

Натыкал бряков, которые испортили код при распаковке?

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 18:25 · Поправил: albatros New!
Цитата · Личное сообщение · #12

Archer Ничего подобного... даже после чистки udd и замены файлом из архива( причем на разных версиях паковщика) ситуация повторяется. Да и как я мог бряками что-то испортить... особенно учитывая, что я ими не пользовался. Короче ситуация такая: открываю любой запакованный Pecompactом файл... жму пару тройку раз на f8 пока не оказываюсь на исключении где-то в дебрях ntdll... затем шифт-ф9 и я каким-то образом оказываюсь на джампе внутри самой программы, прыгающем на себя же. Спрашивается что, олька сама портит все файлы?
Так уже и разные сборки пробовал и без плагинов запускал. Наверное винда как-то не так стала работать, а теперь просто выносит мне мозг.


Ранг: 1983.5 (!!!!)
Статус: Модератор
retired

Создано: 20 июля 2013 18:31 New!
Цитата · Личное сообщение · #13

Возможно, F8 ставит бряк на следующую инструкцию. И меняет байты. И если они потом правятся с зависимостью от исходных байтов, происходит оказия. Взял бы уже и поразбирался, ставит она при F8 бряки или нет. И кто и как изменяет тот джамп. А не предлагал погадать над файлом, настройками ольки, наличием коней в системе и тд.

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 18:41 · Поправил: albatros New!
Цитата · Личное сообщение · #14

Archer первый раз слышу чтобы ф8 само ставило бряк... ну да ладно...буду мучаться...хотя точно помню, что ранее ничего подобного не наблюдалось. Причем, что интересно, когда просто запускаю, никаких исключений не происходит и все нормально работает. А на том месте, где при трассировке появляется джамп, просто одно значение, помещаемое в eax, заменяется другим. Поясните, в чем причина столь разного преобразования кода?


Ранг: 525.7 (!)
Статус: Участник
5KRT

Создано: 20 июля 2013 18:48 New!
Цитата · Личное сообщение · #15

albatros
Прочитай про Debug API. Single Step может быть реализован двумя способами - Int3 и HW Breakpoints. Это можно выбрать в опциях отладчика. Так что Арчер всё правильно сказал по поводу F8. Так-же проверь антиотладку. PECompact портит один указатель на память в случае если был найден отладчик.

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 19:12 New!
Цитата · Личное сообщение · #16

daFix Как оказалось, и hw step, и антиотладка оказались бессильны =(( А про debug API обязательно почитаю


Ранг: 525.7 (!)
Статус: Участник
5KRT

Создано: 20 июля 2013 19:22 New!
Цитата · Личное сообщение · #17

albatros
Кидай линк на анпакми

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 19:32 · Поправил: albatros New!
Цитата · Личное сообщение · #18

вот

{ Атач доступен только для участников форума } - UnPackMe_PeCompact2.70.rar


Ранг: 525.7 (!)
Статус: Участник
5KRT

Создано: 20 июля 2013 19:47 New!
Цитата · Личное сообщение · #19

albatros
Как я не старался, как я не трассировал, всё нормально запускается. И тут нету совершенно ни какой антиотладки или крутых трюков

| Сообщение посчитали полезным: Rio


Ранг: 93.9 (постоянный)
Статус: Участник

Создано: 20 июля 2013 19:48 New!
Цитата · Личное сообщение · #20

вроде ничего необычного:


{ Атач доступен только для участников форума } - dump_.rar

Ранг: 239.5 (наставник)
Статус: Участник

Создано: 20 июля 2013 19:49 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #21

Не догнал, что сложного в распаковке? Обычный пекомпакт.
Прыг на ОЕП 0047383E - FFE0 jmp eax ; UnPackMe.004271B0
-
Из всего этого вывод: у тебя стремная сборка ольки и/или какой-то из плагов

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 20:12 · Поправил: albatros New!
Цитата · Личное сообщение · #22

daFix ну а у меня по исполнению 401016 идет исключение на запись по адресу[000000000] что ,в принципе, логично, учитывая что до этого было xor eax,eax
TryAga1n сам знаю что сложного ничего, когда олька работает как надо


Ранг: 525.7 (!)
Статус: Участник
5KRT

Создано: 20 июля 2013 20:31 New!
Цитата · Личное сообщение · #23

albatros пишет:
у меня по исполнению 401016 идет исключение на запись по адресу[000000000]

Всё правильно, так и должно быть. При выполнении команды на EIP==401016, ты попадаешь на SEH обработчик, адрес которого можно посмотреть на EP проги - MOV EAX,0x47377C. Вникай в теорию

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 20:45 New!
Цитата · Личное сообщение · #24

daFix пишет:
При выполнении команды на EIP==401016, ты попадаешь на SEH обработчик

если бы... даже ImmunityDebugger отправляет меня в дебри ntdll, а потом зацикливание. Короче, надо попробовать на другой машине. Всем спасибо)

Ранг: 111.9 (ветеран)
Статус: Участник

Создано: 20 июля 2013 20:58 New!
Цитата · Личное сообщение · #25

albatros пишет:
надо попробовать на другой машине

дело не в машине. это избитый трюк. запись по адресу 0 вызывает исключение. предварительно установлен seh обработчик (47377C) который и будет вызван, точку останова ставить нужно принудительно на 47377C.

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 21:18 New!
Цитата · Личное сообщение · #26

все, разобрался!!!! вторые сутки перед монитором дают о себе знать, что уже очевидного не вижу

Ранг: 508.6 (!)
Статус: Модератор

Создано: 20 июля 2013 21:22 New!
Цитата · Личное сообщение · #27

http://exelab.ru/f/index.php?action=vthread&forum=1&topic=11725

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 22:13 New!
Цитата · Личное сообщение · #28

sendersu
да тут еще помимо багов ольки беда в том, что не понятно когда и из-за какого плагина начинается "инструкция обратилась... бла-бла-бла..." . Проходя 36 урок нарвахи так намучился с crunch 5.0, пока не попробовал другой способ из другого мануала, где можно ставить аппаратную точку не после pusha, а перед первым call . А "чистая" олька распаковывает обеими способами. так что тут дело опыта.


Ранг: 525.7 (!)
Статус: Участник
5KRT

Создано: 20 июля 2013 22:19 New!
Цитата · Личное сообщение · #29

albatros пишет:
да тут еще помимо багов ольки беда в том, что не понятно когда и из-за какого плагина начинается "инструкция обратилась... бла-бла-бла..."


albatros пишет:
все, разобрался!!!!


Значит, не разобрался. Нету тут ни каких глюков. Всё работает нормально

Ранг: 19.4 (новичок)
Статус: Участник

Создано: 20 июля 2013 22:32 · Поправил: albatros New!
Цитата · Личное сообщение · #30

daFix с Pecompact все, разобрался)... насчет "программа обратилась..." то я уже говорил за частные случаи конфликтов с плагинами, попадающимися в мало- и среднераспространенных пакерах, как было с crunch 5.
. 1 . 2 . >>
 eXeL@B —› Вопросы новичков —› Зависает пошаговая трассировка

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS