OllyDBG Кастомные метки или Алиесы операндов

Сейчас на форуме: vsv1, r0lka, -Sanchez-, testrev1337, johnniewalker, Kybyx, bedop66938 (+3 невидимых)

Посл.ответ	Сообщение
Craz Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 19 июля 2009 00:10 · Поправил: Модератор · Личное сообщение · #1 Не знаю есть такой плаг или функция, чтобы за место операндов в листинге были метки. Например CMP BYTE PTR DS:[4046F8],0 заменялось на CMP BYTE SN,0 или CMP BYTE serial,0 то есть SN=PTR DS:[4046F8] На написание этого поста меня сподвигла рябь в глазах после повторения строк типа DWORD PTR SS:[EBP-50] и DWORD PTR SS:[EBP-10] Обдуманые метки думаю лучше чем длиный набор повторяющихся символов. Теперь можете бить От модератора: подучи русский язык!

mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 19 июля 2009 00:41 · Поправил: mak · Личное сообщение · #2 Code: 00401055 /$ 55 PUSH EBP 00401056 \|. 8BEC MOV EBP,ESP 00401058 \|. 83C4 E0 ADD ESP,-20 0040105B \|. 8B45 10 MOV EAX,[ARG.3] 0040105E \|. 8945 E0 MOV [LOCAL.8],EAX 00401061 \|. 8B45 18 MOV EAX,[ARG.5] 00401064 \|. 8945 F8 MOV [LOCAL.2],EAX 00401067 \|. 8B45 14 MOV EAX,[ARG.4] 0040106A \|. 8945 E4 MOV [LOCAL.7],EAX 0040106D \|. 8B45 1C MOV EAX,[ARG.6] 00401070 \|. 8945 E8 MOV [LOCAL.6],EAX 00401073 \|. 8B45 0C MOV EAX,[ARG.2] 00401076 \|. 8945 F4 MOV [LOCAL.3],EAX 00401079 \|. 8B45 20 MOV EAX,[ARG.7] 0040107C \|. 8945 EC MOV [LOCAL.5],EAX 0040107F \|. 50 PUSH EAX ; /String = NULL 00401080 \|. E8 6F380000 CALL <JMP.&kernel32.lstrlenA> ; \lstrlenA 00401085 \|. 8945 F0 MOV [LOCAL.4],EAX 00401088 \|. 8365 FC 00 AND [LOCAL.1],0 0040108C \|. 8D45 E0 LEA EAX,[LOCAL.8] 0040108F \|. 50 PUSH EAX ; /lParam = 0 00401090 \|. FF75 0C PUSH [ARG.2] ; \|wParam = 0 00401093 \|. 68 1B100000 PUSH 101B ; \|Message = MSG(101B) 00401098 \|. FF75 08 PUSH [ARG.1] ; \|hWnd = 401000 0040109B \|. E8 06380000 CALL <JMP.&user32.SendMessageA> ; \SendMessageA 004010A0 \|. C9 LEAVE 004010A1 \. C2 1C00 RETN 1C Если вот так то это есть в настройках в оли , в меню анализис 1 , показывать аргументы и локальные переменные. Хотя если честно , была задумка сделать плагин , для более детального разбора и коментария. Аргумет 3 например вот такой там, то что вначале процедуры идет. Code: MOV EAX,DWORD PTR SS:[EBP+10] ЗЫ. Забыл написать помоему все эти меню от плагина анализит, точно не уверен. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 19 июля 2009 06:27 · Личное сообщение · #3 Недавно у арабов вышл плагин ImmLabel, который меняет адреса на какие-нибудь названия типа jnz loop1, call generate, CMP BYTE PTR DS:[SN],0. но с [EBP-50] и тд он вроде не работает. e69c_18.07.2009_CRACKLAB.rU.tgz - ImmLabel.dll
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 19 июля 2009 10:18 · Личное сообщение · #4 Vovan666 А это случайно не для immunity?
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 19 июля 2009 10:25 · Личное сообщение · #5 Случайно нет...
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 19 июля 2009 10:51 · Личное сообщение · #6 В таком случае как его запустить? На чистой (без других плагов) стандартной оле жму Settings и в строке состояния получаю Not implemented yet
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 19 июля 2009 11:32 · Поправил: Vovan666 · Личное сообщение · #7 дык в олю надо сначала загрузить кого-нибудь, а потом уже кнопочки тыкать. и тыкать не через меню-плагины, а через правую кнопку мыша.
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 19 июля 2009 11:39 · Личное сообщение · #8 Загружено, конечно , забыл про менюшки , спасибо
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 19 июля 2009 12:02 · Личное сообщение · #9 Vovan666 интересный плагин , нагляднее можно код рипать. Мелочь а приятно ) ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
Azur1d Ранг: 129.7 (ветеран), 2thx Активность: 0.07↘0 Статус: Участник	Создано: 19 июля 2009 15:39 · Личное сообщение · #10 Раз уж пошла такая пьянка... Кто-нибудь знает как называется плагин для оли, который позволяет вставить в листинг метки из DeDe (типа TForm.Create)? Точно знаю что такой есть, а найти не могу.
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 19 июля 2009 15:44 · Личное сообщение · #11 Azur1d пишет: Кто-нибудь знает как называется плагин для оли, который позволяет вставить в листинг метки из DeDe (типа TForm.Create)? Точно знаю что такой есть, а найти не могу. Find Point E 4098_19.07.2009_CRACKLAB.rU.tgz - Point E(eng).dll
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 19 июля 2009 16:11 · Личное сообщение · #12 Не, PointE самостоятельно ищет точки событий, а Map-файл из dede применяется с помощью Godup. Есть еще пара других, которые делают то же самое, но Godup более универсален, можно еще сигны от IDA применять.
Craz Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 19 июля 2009 19:43 · Личное сообщение · #13 mak Полезная опция, знал про нее. Vovan666 Хороший плаг. Буду следить за развитием. Спасибо за отклики, но нужного так и не нашел. Хотя надеюсь на ImmLabel.dll старших версий или на появление отечественного аналога. Модератору: Буду учить... после асма.
kioresk Ранг: 154.2 (ветеран), 66thx Активность: 0.08↘0 Статус: Участник REVENGE Crew	Создано: 19 июля 2009 20:47 · Поправил: kioresk · Личное сообщение · #14 Craz, как раз для этого в OllyDbg и предназначены метки (label): Перейди в окне данных по нужному тебе адресу (правая кнопка на инструкции — «Follow in Dump» — «Memory Address») и добавь метку к выделенной ячейке с данными (правая кнопка на выделении — «Label»). После этого в коде вместо адреса будет отображаться заданная тобой метка. Постскриптум Изучайте лучше возможности используемых вами инструментов, это во многом облегчит вашу работу.
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 19 июля 2009 20:54 · Личное сообщение · #15 kioresk Как мне кажется, топикстартер хочет, чтобы метки проставились автоматом.
Craz Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 20 июля 2009 00:17 · Личное сообщение · #16 kioresk Да, эта функция мне известна. Мне нужно чтобы выражения типа DWORD PTR SS:[EBP-10] заменялись на лэйблы во всем коде т.е. было MOV EAX, DWORD PTR SS:[EBP-10] стало: MOV EAX, SN P.S. SN - моя метка, которая заменяет DWORD PTR SS:[EBP-10]. Если так понятнее...
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 20 июля 2009 08:35 · Личное сообщение · #17 Craz пишет: заменялись на лэйблы во всем коде Бред, SS:[EBP-хх] - доступ к локальной переменной в стеке и если в одной функции это "SN - моя метка", то в другой... Буду учить... после асма - значит усердней учи асм... ----- 127.0.0.1, sweet 127.0.0.1
Craz Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 20 июля 2009 14:25 · Личное сообщение · #18 OKOB Я не Бред и тем более не Пит OKOB пишет: если в одной функции это "SN - моя метка", то в другой... Что там в другой функции - не очень интерисует.
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 20 июля 2009 16:20 · Личное сообщение · #19 Craz пишет: Что там в другой функции - не очень интерисует. это ты зря, если в твоем случае проверка не выходит за пределы одной ф-ии, то тебе ясное дело пох, а зачастую проверка не ограничивает одной ф-ей ----- Лучше быть одиноким, но свободным © $me
Craz Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 20 июля 2009 16:32 · Личное сообщение · #20 BoRoV Согласен, немного погорячился. Ну тогда можно заменять значения на промежутке адресов. Но это так к примеру, если кто-то захочет реализовать идею, так как на данный момент мои знания не позволяют этого сделать.
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 20 июля 2009 19:21 · Поправил: BoRoV · Личное сообщение · #21 может я чегото не понимаю, но как сделать с так как показано в мувике к ImmLabel, чтобы оно переименовывало не только адрес в инструкции, а и адрес в поле адресов? ----- Лучше быть одиноким, но свободным © $me
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 20 июля 2009 21:05 · Личное сообщение · #22 Craz пишет: т.е. былоMOV EAX, DWORD PTR SS:[EBP-10] стало:MOV EAX, SN OKOB пишет: Бред +1 изменится EBP и все "твои метки" идут лесом... Вряд ли ты такой плаг найдёшь лучше бери листинг из иды и меняй что хочешь, как нравится ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
Craz Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 20 июля 2009 23:55 · Личное сообщение · #23 Значит по-старинке, коменты добавлять.
Azur1d Ранг: 129.7 (ветеран), 2thx Активность: 0.07↘0 Статус: Участник	Создано: 21 июля 2009 00:05 · Личное сообщение · #24 SVLab,Vovan666, Спасибо за инфу.

Для печати