Olly и имена API функций

Сейчас на форуме: YDS, _MBK_, user99, ManHunter (+4 невидимых)

Посл.ответ	Сообщение
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 07 декабря 2005 13:41 · Личное сообщение · #1 Можно ли используя при отладке приложения только олю имея конкретный адрес скажем в кернеле узнать название функции которой этот адрес принадлежит?

nice Ранг: 384.1 (мудрец) Активность: 0.25↘0 Статус: Участник www.int3.net	Создано: 07 декабря 2005 13:48 · Личное сообщение · #2 Medsft Да, нажми нааходясь в библиотеке Ctrl+N ----- Подписи - ЗЛО! Нужно убирать!
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 07 декабря 2005 14:04 · Личное сообщение · #3 В принципе разобрался, спасибо, начало положено. Однако если скажем полученный адрес из оли находится в теле функции довольно геморойно искать начало а потом еще в експорте кернеля искать или я не прав? Странно что никто еще плуг не написал, чтоб было как йасе.
Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 07 декабря 2005 14:09 · Личное сообщение · #4 Medsft А че искать то ? нажми CTRL+N и напиши то что ищет ... на окошке видно будет
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 07 декабря 2005 14:17 · Личное сообщение · #5 Туплю ,в каком окошке?
Medsft Ранг: 330.4 (мудрец), 334thx Активность: 0.16↗0.17 Статус: Участник ILSpector Team	Создано: 07 декабря 2005 17:42 · Личное сообщение · #6 Видимо честному народу не понятно Обьясняю: скажем некоторой функцией проги идет проверка системных библиотек и поиск функций по сигнатуре+ СС, потом когда она будет найдена часть ее будет исполнятся в секции защиты (при необходимости) а остальная из системной библиотеки. Задача: после поиска сигантуры "функция поиска" на выходе имеет в edi адрес где-то в середине оригинальной функции как найти название эмулируемой в дальнейшем api имея в наличии только адрес в середине ее. P.S. Я конечно понимаю что можно проэмулировать до захода в какие-нибудь внутренние подпрограммы функции но мне почему-то кажется что до этого автор не дошел. Короче будем надеесся на лучшее.
Step Ранг: 64.6 (постоянный) Активность: 0.02↘0 Статус: Участник	Создано: 07 декабря 2005 18:01 · Личное сообщение · #7 Medsft Давай розсуждать вместе. Адресс где то в середине основной функции, скажем во внутренне-служебной. Вот эту внутренне-служебную вызывают до хр... количества раз самые разные функции. Как же теперь определить материнскую ? Был бы вызов - можно стек трассировать. Если адресс не принадлежит чёрнорабочей функции. Получи все адреса ескпортируемых ф-ий. Упорядочни по адресам. Проверь на близлежащую. Разве есть ещё варианты алгоритма ?
tar4 Ранг: 136.5 (ветеран) Активность: 0.03↘0 Статус: Участник	Создано: 08 декабря 2005 05:18 · Личное сообщение · #8 Medsft пишет: как найти название эмулируемой в дальнейшем api имея в наличии только адрес в середине ее. Если я правильно понял: находишься в теле Апи-функции, делаешь анализ кода (Ctrl_A), идешь в начало фунции (теперь это видно), а затем View Call Tree (Ctrl_K) и название функции у тебя перед глазами.

Для печати