1. Подскажите как вести поиск в стеке текстовой строки
По идее Search For -> Binary Sting но у меня ничего не находит т.е. строка существует я ее вижу, а пишет not found
2. И еще как можно искать в регистрах?

М.б. есть плагин который ведет лог стека и\или регистров (строка\адресс----адрес того кто положил)?

| Сообщение посчитали полезным:

стек и binary string... если я не совсем сошёл с ума, то одно к другому не имеет никакого отношения... или ты как-то странно выражаешься, или я на лыжах в мае...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

aurumkey
Что значит видишь строку в стеке? Иногда в стеке лежит только указатель на строку, а саму строку Олька сама подставляет по этому указателю для удобства, реально в стеке её нет.

| Сообщение посчитали полезным:

aurumkey пишет:
М.б. есть плагин который ведет лог стека и\или регистров

В этой теме http://www.exelab.ru/f/action=vthread&forum=7&topic=7355 выкладывался плагин для Олли, с помощью него можно вести лог регистров. Но к сожалению автор прекратил паблик релизы и убрал ссылку на раннюю версию.

Исторически так сложилось, что я не хожу в раздел форума "Оффтоп", поэтому не успел скачать плагин, когда он ещё был доступен. Может кто поделится им со мной, можно в приват.

З.Ы Обращался через личку к Demon666, с просьбой дать последний паблик релиз плагина, но ответа не последовало.

| Сообщение посчитали полезным:

Memory Watch 0.1 (Beta)
Few weeks ago I wrote a simple Olly plugin to help crack a few apps where changes in memory value were tough to find just using hardware or memory breakpoints. The plugin has grown to include some other functions like watching registers for particular values and watching and logging strings.
It could be a useful Olly tool in some situations so I cleaned up the interface a bit and decided to release it.
The MemoryWatch plugin supports three main functions:
1) Memory Watch - Watch memory address(es) for a particular value(s). The memory value can be a dword, word or byte value masked by a nominated mask value.
2) Register Watch - watch any or all of the registers for a particular value.
3) String watch - watch the registers for any string which contains a nominated string value and/or watch the Ollydbg "Information Panel" for referenced strings. All referenced strings can also be logged to the Ollydbg log.
MemoryWatch allows a debugged app to be automatically stepped (F7, F8 or F9) while watching for a particular memory value(s), register value(s) and/or string value(s). MW can pause when a watch value is found or log watch events to the Ollydbg log file.
I've found the most useful functions are being able to set up "conditional" hardware breakspoints on memory write and watching/logging strings.
Ziggy
www.tuts4you.com/forum/showtopic=12425&hl=

| Сообщение посчитали полезным:

aurumkey пишет:
1. Подскажите как вести поиск в стеке текстовой строки
По идее Search For -> Binary Sting но у меня ничего не находит т.е. строка существует я ее вижу, а пишет not found
2. И еще как можно искать в регистрах?
1) Переходишь в окошко дампа, Ctrl+G, esp или свой адрес. Если выделен не гиг стэка (обычно оч.мало), то визуально находишь при условии что место под эту строку выделено именно на стеке =)
2) Только указатели на строки.
aurumkey пишет:
М.б. есть плагин который ведет лог стека и\или регистров (строка\адресс----адрес того кто положил)?
Нет. Идея создания скрипта, который мог бы фильтровать строки (аргументами "за" были возгласы о простом поиске NAME/SN), неоднократно рассматривалась на этом форуме. Идею отторгли.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

открываешь карту памяти и там "Search" только галку по-моему убрать надо...
потом ставишь на неё бряк на доступ и следишь за перемещениями строки

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Search For -> Referensed String
вроде так.. Если укаазатель на строку есть в стеке, значит он наверняка используется программой (push xxxxxxxx) след-но это ref. string

-----
radio uno in ibisa ...

| Сообщение посчитали полезным: