Подскажите как это решить, поставил бряк bpx MessageBoxA через плагин cmdbar310109c и ольга не показывает функцию в стеке и адресс возврата а токо её параметры. вот скрин


b466_28.08.2011_EXELAB.rU.tgz - err.JPG

| Сообщение посчитали полезным:

и ольга не показывает функцию в стеке и адресс возврата
40124A - это что? Про функцию не знаю, но раскладку параметров она именно для MessageBox дает - чего вам еще нужно?

| Сообщение посчитали полезным:

нужно вот как=) http://www.wasm.ru/pub/23/pic/ollydbg09/35.png
124A это нето совсем

| Сообщение посчитали полезным:

opcodes
Нажми F7
Без этого крякми тут вряд-ли кто-то сможет тебе что-то подсказать. Да и вообще, в чём необходимость железных бряков?

-----
Research For Food

| Сообщение посчитали полезным:

---

| Сообщение посчитали полезным:

В общем случае адрес возврата ничего не даст, нужно искать строку в памяти и хард бряк на акцесс. Если не работает - NtSetThreadContext перехватить, например ;)

-----
IZ.RU

| Сообщение посчитали полезным:

Kiev78


DenCoder пишет:
В общем случае адрес возврата ничего не даст, нужно искать строку в памяти и хард бряк на акцесс. Если не работает - NtSetThreadContext перехватить, например ;)

Вспомнилась фраза из нуждиков
- Дорогой, ты где был?
- Стрелял по лягушкам в Германии лазером из космоса со спутника!
- Странно, но травой не пахнет.
- Дура, я под lsd.

У чувака какой-то простой крякми и он явно по тутору для новичков его решает

-----
Research For Food

| Сообщение посчитали полезным:

[12fe58] это адрес возврата(до ветвления на апи). Или вам колстек нужен ?
Весь стек нормально отображается. Иначе берите начало SFC в Ebp и жмите ентер. Проще простого.

| Сообщение посчитали полезным:

DenCoder
> Если не работает - NtSetThreadContext перехватить, например ;)
О чём это вы ?

| Сообщение посчитали полезным:

bowrouco пишет:
[12fe58] это адрес возврата(до ветвления на апи)
Не путайте людей. EIP чувака стоит на комманде call MessageBoxA, поэтому анализ параметров прошёл, но адреса возврата в стеке ещё нету

bowrouco пишет:
О чём это вы ?
NtSetThreadContext - распространённый метод затирания хардварных бряков, через которые Ден предлагает ставить бряк на память

-----
Research For Food

| Сообщение посчитали полезным:

да друзья мои я по туториалу для новичков еще все делаю.. по этому и хотел эти ньюансы уточнить.. спасибо всем.. F7 рулит.. я так понял бряк ставица на апи но не выполняет его по этому он добавил в стек токо его параметры.

| Сообщение посчитали полезным:

daFix
> EIP чувака стоит на комманде call MessageBoxA..
Я про то и говорю. Брейк сработал до ветвления(колл это процедурное ветвление).

> NtSetThreadContext - распространённый метод затирания хардварных вряков..
И что с того. Ну есть есчо NtContinue, NtRaiseException и NtCallbackReturn. Причём тут загрузка Dr-контекста ?

| Сообщение посчитали полезным:

bowrouco

daFix пишет:
через которые Ден предлагает ставить бряк на память
Вчитайтесь в эту фразу

bowrouco пишет:
[12fe58] это адрес возврата(до ветвления на апи)
Ни какого ветвления на API тут ещё не произошло. Тут произошёл call на функцию, КОТОРАЯ уже в свою очередь, вызвала API.

Хватит офтопить

-----
Research For Food

| Сообщение посчитали полезным:

daFix
offtop: Стыдно товарищи, очень стыдно http://exelab.ru/faq/SFC

Оказывается вы не знаете что такое ветвление. Jmp - безусловное, Call - процедурное, Jcc - условное, Call [] - косвенное процедурное условное, Jmp [] - косвенное условное ветвления. Условие не только кстати определяется значением флагов, просто к сведению, так как это мало кто нонимает.

| Сообщение посчитали полезным:

bowrouco
Товарищ умник, а вы случаем не забыли устройство стека и с какой очерёдностью туда тожится инфа?

-----
Research For Food

| Сообщение посчитали полезным:

bowrouco
в стеке лежат 4 параметра для надвигающегося вызова. О каком стыде вы говорите - понять не удалось ни мне, ни daFix. [12fe58] тут лежит (в предположении, что олька не ошиблась с анализом вызовов) адрес возврата из текущей функции. А сейчас eip указывает примерно на такое место:
push xxx
push yyy
push zzz
push aaa
call bbb
где xxx, yyy, zzz, aaa это те параметры, которые уже лежат в стеке (на самой верхушке), а bbb это функция, которой эти параметры предназначаются. Судя по всему eip сейчас указывает в код приложения (не в системную dll).

opcodes
Чтобы не возникало подобных споров и можно было сразу тыкать носом пальцем в код, неплохо бы выкладывать обсуждаемые приложения.

| Сообщение посчитали полезным:

Bit-hack пишет:
Чтобы не возникало подобных споров и можно было сразу тыкать носом пальцем в код, неплохо бы выкладывать обсуждаемые приложения.
Он по этой нарвахиной статье что-то мутит
http://www.wasm.ru/article.php?article=ollydbg09

| Сообщение посчитали полезным:

daFix

Не забыл, у тс видимо такое(так как SFC кончается на 12FE6C):

И это вероятно обёрнуто в кучу всякого мусора - левых ветвлений.

| Сообщение посчитали полезным:

bowrouco
Может быть стоит остановиться?

http://www.wasm.ru/pub/23/pic/ollydbg09/25.png
На момент создания первого поста, EIP у ТС было 4013BC. Ни какого ветвления в функцию, о котором вы так усердно тут глаголите, небыло. Учите мат.часть перед началом спора.

А по адресу 12FE6C скорее всего лежит мусор, который получился изза выделения стекового места под функцию, так как стек задирается и в него попадает мусор не отчищенный после его использования другими частями кода


Клерк, ты что-ли??

Модерам - согласен на бан

-----
Research For Food

| Сообщение посчитали полезным:

daFix
Я про раскрытие ветвления ничего не говорил. Раскрой глаза. И не нужно меня посылать матчасть учить школьник.

| Сообщение посчитали полезным:

проблема была решена уже на 4,5 посте от начала темы, и думаю эта проблема не заслуживала перековыривания всей программы.. ответ был прост: Точка останова встала на call'e MessageBoxA но не выполнила его.
А в стек попали только 4 процедуры API функции.. а если бы выполнила то вылезло бы сообщение MessageBoxA'a а это как вы понимаете было бы нерентабельно.
нужно было мне просто выложить полный скрин в проблемном месте.

| Сообщение посчитали полезным:

нужно было мне просто выложить полный скрин в проблемном месте.
А еще лучше было проанализировать его самому

| Сообщение посчитали полезным: