Я стаю на OEP, как мне посмотреть откуда я туда попал (где найти этот jmp OEP/call OEP)

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
1) смотри на стек в правом нижнем углу.
2) как вариант - сними дамп и погляди в иде на референс джампы.
3) попробуй retn сделать и если возвратишься в код ниже call'а - значит это не oep

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Call stack пустой, retn сделал, вывалился на ??? Unknow command
Еще заметил что в eax лежит адрес eip значит вызвается Call eax/jmp eax. Может можно какое нибудь условие поставить?

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
А в регистрах что ?

Делай трассировку и потом в журнале поглядишь

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon написал)

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Долго очень, программа огромная))

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
Еще заметил что в eax лежит адрес eip значит вызвается Call eax/jmp eax
Здесь тока jmp eax "катит", потомучто Call всегда кладет в стек адрес возврата.

| Сообщение посчитали полезным:

могу только по айсу подсказать - в softice bpm oep x и смотришь внизу MSR - там будет LastBranchFromEIP

| Сообщение посчитали полезным:

вроде LastBranchFromEIP только на AMD работает?

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Никогда AMD не было, всю жизнь интел юзаю, работает прекрасно.

Под VMware правда нули в этих регистрах получаются.

| Сообщение посчитали полезным:

Чей та у меня нет такого. Набираю MSR, куча всякой лажи выходит, а LastBranchFromEIP нет

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
Я стаю на OEP, как мне посмотреть откуда я туда попал (где найти этот jmp OEP/call OEP) -х/з что понапишут

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Maximus пишет:
Чей та у меня нет такого. Набираю MSR, куча всякой лажи выходит, а LastBranchFromEIP нет
Эти регистры у меня выскакивают вместе с брейкпойнтом. Бряк должен быть именно хардварным.

Break due to BPMB XXX
MSR LastBranchToEIP xxx
MSR LastBranchFromEIP xxx

выдает айс когда происходит бряк.

| Сообщение посчитали полезным:

DrFits лучше бы помог чем флудить
Если не понятен вопрос могу по другому написать
Стою на иснтрукции Push EBP, как мне вычислить с какого адреса я туда попал.

Если нечего писать то лучше не писать вообще

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
DrFits лучше бы помог чем флудить - чем помог? Объяснить как в оле настройки ставить?
Ну тогда если JMP EAX то ИМХО нажми "Go to previos " , иначе поставь в "Options->debug options->events->system breakpoint", вывалишся в самое начало запуска проги (EP) , а затем вручную трассируй

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Sh[AHT] не выходит...

Break due to BPMB XXX
Потом набираю: MSR LastBranchFronEIP XXX
Вываливается Msr: invalid register

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

DrFits пишет:
а затем вручную трассируй

Распаковывая многомегабайтную программу....

DrFits пишет:
"Go to previos "
Попробовал, меня вернуло как раз на EP

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Я ничего не набираю. Айс САМ выдает значения MSR при бряке. Если у тебя не выдает, значит у тебя с айсом что-то или с процессором.

| Сообщение посчитали полезным: