eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Lambda, Nihil enim (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› OllyDbg: ALT-F9 - не работает
Посл.ответ Сообщение

Ранг: 0.4 (гость)
Статус: Участник

Создано: 13 октября 2013 17:07 New!
Цитата · Личное сообщение · #1

Сидел изучал туториалы от lena151 по этой ссылке
http://tuts4you.com/download.php?list.17
Дошел до 4 туториала где разбирается реверс приложения под названием pixtopian book.
В обучающем ролике lena запустила программку через olly, потом вызвала сообщение о триальном периоде (при попытке создать более 3 групп). Далее не закрывая окна с сообщением переключилась в Olly и нажала "Pause". Olly остановилась на инструкции retn, потом lena нажала ALT + F9, чем вызвала прерывание по возвращению в user mode (то есть можно было вернуться в программу, нажать на "ОК" и попасть по пркрыванию на то место, откуда вызвалась программа).

Я попробовал остановить программу в Olly 2.0 и программа остановилась НЕ НА ИНСТРУКЦИИ retn, естественно после нажатия ALT+F9 ничего не произошло и окно с сообщением осталось недоступным (нажать "ОК" нельзя).
Я установил Olly 1.10 - проделал всё вышеописанное. В результате программа всё равно не останавливается в том же месте, как и в туториале, и более того после нажатия ALT+F9 ничего не происходит (программа остается остановленной и кнопку нажать нельзя).

Подскажите с чем это связано? Как с этим справиться или обойти этот момент?
Интересуют варианты для обеих версий OllyDbg


Ранг: 296.3 (наставник)
Статус: Участник

Создано: 13 октября 2013 17:10 New!
Цитата · Личное сообщение · #2

125874 пишет:
Подскажите с чем это связано?

Завершился процесс. Возможные причины:
1) возникло исключение в коде программы, а подходящего обработчика нет
2) сработал антиотладочный трюк

В логе ольки есть что-нибудь полезное?

Ранг: 0.4 (гость)
Статус: Участник

Создано: 13 октября 2013 17:23 New!
Цитата · Личное сообщение · #3

DenCoder пишет:
Завершился процесс. Возможные причины:

Да нет, вы ошиблись! Ничего не завершилось.
Программа просто остановилась, но нажать никуда нельзя. Если отменить ожидание, то программа дальше работает как обычно. ВОпрос в том, почему у меня не совпадает ожидаемое (то что в туториале) и реальное (то что у меня в ольке)


Ранг: 296.3 (наставник)
Статус: Участник

Создано: 13 октября 2013 17:39 New!
Цитата · Личное сообщение · #4

Да, признаю, поспешил с выводами

125874 пишет:
Olly остановилась на инструкции retn

она могла остановиться где угодно в цикле обработки сообщений появившегося окна, retn - просто так совпало. ALT-F9 - это способ, чтоб быстрее добраться до адреса после места вызова окна

Ранг: 0.4 (гость)
Статус: Участник

Создано: 13 октября 2013 17:42 New!
Цитата · Личное сообщение · #5

DenCoder пишет:
чтоб быстрее добраться до адреса после места вызова окна

Да. Я понял, просто коряво объяснил. Но именно добраться до места возврата и не получается. Программа после нажатия ALT+F9 остается недоступна. Может где-то в настройках я ошибся?


Ранг: 296.3 (наставник)
Статус: Участник

Создано: 13 октября 2013 17:45 · Поправил: DenCoder New!
Цитата · Личное сообщение · #6

Ну у меня всё получилось - после нажатия на кнопку OK EIP оказался после call MessageBoxA
Code:
  1. CPU Disasm
  2. Address   Hex dump          Command                                  Comments
  3. 0045630B  |> \FF7424 10     PUSH    DWORD PTR [Arg3]                 ; /Type = MB_OK|MB_ICONHAND|MB_DEFBUTTON1|MB_APPLMODAL
  4. 0045630F  |.  50            PUSH    EAX                              ; |Caption
  5. 00456310  |.  FF7424 10     PUSH    DWORD PTR [Arg1]                 ; |Text => [Arg1]
  6. 00456314  |.  51            PUSH    ECX                              ; |hOwner = 7C91005D
  7. 00456315  |.  FF15 04564700 CALL    [<&USER32.MessageBoxA>]          ; \USER32.MessageBoxA
  8. 0045631B  |.  5E            POP     ESI                              ; PTR to ASCII "&#561;G"


Альтернативный способ (в данном случае) - в модуле PixtopianBook.exe нажать Ctrl-N, выбрать из списка MessageBoxA -> Ctrl-R -> F2 на каждой строке, пока все не станут красными. Но это устанавливает точки останова перед вызовами MessageBox


Ранг: 296.3 (наставник)
Статус: Участник

Создано: 13 октября 2013 17:52 · Поправил: DenCoder New!
Цитата · Личное сообщение · #7

del

Ранг: 0.4 (гость)
Статус: Участник

Создано: 13 октября 2013 17:57 New!
Цитата · Личное сообщение · #8

DenCoder пишет:
Ну у меня всё получилось

Так. Я запустил другую программу - проделал всё вышеописанное и у меня тоже всё сработало.
Но с программкой pixtopian почему-то не работает (ни с одним из диалоговых окон). После нажатия ALT+F9 программа как-бы зависает и перестает реагировать (нельзя даже переключиться на неё). Я так понял что она перестает ловить системные события (иначе не могу объяснить). Даже если нажать Run она всё равно "висит" пока не перезапустить Ольку. С другими программами нормально - в чем может быть проблема?
Может надо выставить какие-то настройки или права для pixtopian?


Ранг: 296.3 (наставник)
Статус: Участник

Создано: 13 октября 2013 18:05 New!
Цитата · Личное сообщение · #9

Какая ОС?

Ранг: 0.4 (гость)
Статус: Участник

Создано: 13 октября 2013 18:14 New!
Цитата · Личное сообщение · #10

Windows 7 x64
Ольку запускаю под правами администратора (без них не могла читать библиотеку NVIDIA)


Ранг: 296.3 (наставник)
Статус: Участник

Создано: 13 октября 2013 18:41 New!
Цитата · Личное сообщение · #11

Проверил под 7 x64, всё ок. Попробуй файл настроек для оли 2


{ Атач доступен только для участников форума } - ollydbg.ini

Ранг: 0.4 (гость)
Статус: Участник

Создано: 13 октября 2013 19:14 New!
Цитата · Личное сообщение · #12

Попробовал - не помогает. Переустановил исследуемую программу - не помогает.

Ранг: 0.4 (гость)
Статус: Участник

Создано: 13 октября 2013 19:22 New!
Цитата · Личное сообщение · #13

Пожалуйста посмотрите правильно ли я всё делаю: http://youtu.be/LLmS00pWmZ4


Ранг: 296.3 (наставник)
Статус: Участник

Создано: 13 октября 2013 21:30 New!
Цитата · Личное сообщение · #14

Ошибок не видно. Попробуйте --> свежую версию olly <--

Ранг: 0.4 (гость)
Статус: Участник

Создано: 21 октября 2013 23:19 New!
Цитата · Личное сообщение · #15

Ещё вопрос возник. А подобная функция есть в IDA ?
 eXeL@B —› Вопросы новичков —› OllyDbg: ALT-F9 - не работает

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS