ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
01.08.2008, 14:01
|
|
Участник форума
Регистрация: 03.01.2008
Сообщений: 156
Провел на форуме:
414311
Репутация:
110
|
|
упх то я снял.
Просто стало интересно почему так происходит.
Олли стоит только с плагом HideDebugger, больше ничего нет.
Изучал распаковку по тутору MozgC. Там используется SoftIce и соответственно для поиска oep ставится bpm esp-4.
Я использую Олли. Ну и сначала поставил бряк на этот дворд в памяти (Breakpoints > Memory on access). Соответственно вылетает экзепшен после Run (Access violation, запись в секцию где располагается PE проги). Хардварный бряк ставишь на тот же дворд и всё нормально. ОЕП нашлось ).
Вопрос в следующем:
1. Что есть bpm (вроде же breakpoint on memory) и какой функционал ему сопоставлен в Олли?
2. Почему прога вылетает под отладчиком Олли при установке бряка на память и всё работает при хардварных бряках?
|
|
|
01.08.2008, 14:05
|
|
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445
Репутация:
588
|
|
ProTeuS нада взять посл версию плага, за мемори бряки отвечает "custom handler ...", если что её можно просто оффнуть. падать ничего не будет.
|
|
|
|
01.08.2008, 14:17
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
ТС, пакуй калькулятор упхом. доходи до ОЕП, запоминай адрес. рестартуй прогу, перед на4алом распаковки кода Ctrl+G адресс OEP и щелкай по нему правой кнопкой->Breakpoint->Memory on write. Далее F9. брякаемся в цикле распаковщика во время записи первых байт распакованого тела проги и все ок
|
|
|
|
01.08.2008, 15:10
|
|
Участник форума
Регистрация: 03.01.2008
Сообщений: 156
Провел на форуме:
414311
Репутация:
110
|
|
2ProTeuS
эммм, меня видимо не так поняли. Мне интересно почему так происходит.
|
|
|
|
01.08.2008, 15:46
|
|
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445
Репутация:
588
|
|
izlesa какие ещё плагина установлены? какая сборка ольги используется?
|
|
|
|
01.08.2008, 15:51
|
|
Участник форума
Регистрация: 03.01.2008
Сообщений: 156
Провел на форуме:
414311
Репутация:
110
|
|
Олли 1.10 - оригинальная, не сборка )
Плагины - CommandBar, HideDebugger.
Больше ничего.
ЗЫ необратил внимание раньше. Экзепшен вылетает за несколько команд до перехода на OEP.
Соответственно в eax оказывается левый адрес, находящийся в секции заголовка PE - 0100020F
AND BYTE PTR DS:[EAX],7F <-здесь экзепшен
AND BYTE PTR DS:[EAX+28],7F
POP EAX
PUSH EAX
PUSH ESP
PUSH EAX
PUSH EBX
PUSH EDI
CALL EBP
POP EAX
POPAD
LEA EAX,DWORD PTR SS:[ESP-80]
PUSH 0
CMP ESP,EAX
JNZ SHORT calc.01020E92
SUB ESP,-80
JMP calc.01012475 <- jmp OEP
Если надо выложу скрин.
Последний раз редактировалось izlesa; 01.08.2008 в 16:06..
|
|
|
|
01.08.2008, 18:09
|
|
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445
Репутация:
588
|
|
попробуй на голой ольге, без всего... что из ав/фаеров стоит?
так на всех пакованных прогах? или только на упх-ых?
|
|
|
|
01.08.2008, 21:41
|
|
Участник форума
Регистрация: 03.01.2008
Сообщений: 156
Провел на форуме:
414311
Репутация:
110
|
|
2Hellsp@wn
пробовал. Не влияет. Как и аверы с фаером.
Вот коечто нашёл в хелпе к Олли.
"Memory breakpoint ... To set this breakpoint,OllyDbg changes attributes of memory blocks containing selection. On 80x86-compatible processors memory is allocated and protected in chunks of 4096 bytes. If you select even single byte, OllyDbg must protect the whole block. This may cause plenty of false alarms with huge overhead. Use this kind of breakpoint with care. Some system functions (especially under Windows 95/98) cause debugged program to crash instead of generating debugging event when accessing protected memory. ..."
Но если руководствоватся хелпом, то не понятно то что появляется в eax (см предыдущий пост) - глюк Олли или реально так происходит ...
гым, но это ведь известная штука должна быть. Везде в статьях посвешённых распаковке с использованием Олли применяется хардварный бряк hr esp-4
Хотя по конечным действиям можно было бы применять memory break ...
ЗЫ и как кстати дебаггер 3 кольца может менять секьюрити аттрибуты (из хелпа, ктр привёл выше) страниц? o___0
ЗЫЫ Чтото мне кажется, что я напрягаю ^_____^
|
|
|
|
01.08.2008, 22:09
|
|
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445
Репутация:
588
|
|
как раз таки влияет  не у одного тебя мемори бряки тупили и в основном причины были в винде/ав/фаере. как вариант ставь виртуалку, туда хрюшу и юзай на здоровье.
з.ы. винда какая? |
|
|
|
01.08.2008, 22:52
|
|
Участник форума
Регистрация: 03.01.2008
Сообщений: 156
Провел на форуме:
414311
Репутация:
110
|
|
проверял на двух машинах
winxp SP2, AV: Nod32 v2.7, FW: None
winxp SP3, AV: PC Tools, FW: None
одна фигня ) в том числе при отключеных АВах.
счас ещё аспак поковыряю, скажу как там бряки на память стековую ставить. Мне в принципе не парит использование хардварных бряках, да и чтото на эту тему у Нарвахи в его туторах было.
Причём в других прогах бряки на стековую память работают нормально. Просто какоето непонятное стечение объстоятельств ...
---------
нда, с аспаком тоже самое, access violation, теперь в edi лажа при цепочечной команде.
А у вас бряки на доступ к стековой памяти при распаковке работают или это у мну баги(я надеюсь хотя бы не в голове ^_____^)?
Последний раз редактировалось izlesa; 01.08.2008 в 23:11..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
