 |
eXeL@B —› Вопросы новичков —› OllyDbg:: как найти загруженные в память данные |
| Посл.ответ | Сообщение |
|
|
Создано: 10 июля 2009 17:57 · Личное сообщение · #1 Программа на одном этапе считывает файлы, и в том числе license.dat. Но похоже на то, что она его откладывает на потом. Сразу следом начинают считываться текстуры интерфейса итд. Помогите пожалуйста найти место где она его проверяет. Вот что видно в Olly: Code:
Если выполняю команду bp 00C6533C Olly пишет предупреждение "It looks like you are trying to set breakpoint on the data.." и программа на этом брекпоинте не останавливается. Как мне найти место, где программа будет проверять содержимое файла? Спасибо большое!  |
|
|
Создано: 10 июля 2009 18:56 · Личное сообщение · #2 Сначала брякаешься на CreateFileW, потом на ReadFile и смотришь, если хендл, переданный ReadFile тот, который вернула CreateFile, то читается нужный тебе файл. >>bp 00C6533C а зачем на строку-то ставить бряк? |
|
|
Создано: 10 июля 2009 18:57 · Личное сообщение · #3 Как программа может остановиться на данных, куда ты пытаешься поставить бряк? Ставь железный на доступ. Хотя в данном случае, это вряд-ли поможет, здесь, скорее всего, подготовка данных для чтения файла. Больше С6533С может и не использоваться. |
|
|
Создано: 10 июля 2009 19:05 · Личное сообщение · #4 >> Программа на одном этапе считывает файлы Считывает или открывает?  Хм, а если уже считанное с помощью ReadFile, то ставь мемори бряк на регион куда считалось. |
|
|
Создано: 10 июля 2009 20:38 · Личное сообщение · #5 Да, вы правы это была подготовка для чтения файла. Ок, я нашел место где программа поместила данные из файла лицензии (который я создал для пробы) в стек: Code:
И когда я стою на LEA олли пишет адрес стека. Stack address=0012ECB4 ECX=0321FD68 И в стеке по этому адресу видны буквы из файла Скажите пожалуйста как теперь узнать место когда программа будет сравнивать содержимое стека по этому адресу.? |
|
|
Создано: 10 июля 2009 20:54 · Личное сообщение · #6 Wonder пишет: Скажите пожалуйста как теперь узнать место когда программа будет сравнивать содержимое стека по этому адресу.? Уже писали как: or33 пишет: Хм, а если уже считанное с помощью ReadFile, то ставь мемори бряк на регион куда считалось. то есть breakpoint на чтение (on read) |
|
|
Создано: 10 июля 2009 21:29 · Личное сообщение · #7 Спасибо! кажется нашел нужное место, и количество BytesToRead совпадает Code:
Только незнаю где смотреть регион куда считалось |
|
|
Создано: 10 июля 2009 21:47 · Поправил: SVLab · Личное сообщение · #8 LOCAL.15 - имя локальной переменной, которое подставляет Оля вместо аргумента типа EBP-X. X(hex) = 15(dec)*4 = 3C Ну так третья строка PUSH EAX |
|
|
Создано: 11 июля 2009 00:06 · Личное сообщение · #9 Я поставил туда бряк memory on acces но он ведет в ntdll |
|
|
Создано: 11 июля 2009 11:35 · Личное сообщение · #10 бряки на доступ вполне могут срабатывать внутри системных библиотек, особенно когда код использует API, а не обращается к данным напрямую но в твоём случае ты мог поставить бряк на область стека, потому и вылез в недрах ntdll ----- EnJoy! |
|
eXeL@B —› Вопросы новичков —› OllyDbg:: как найти загруженные в память данные |
Для печати