проблема с ollyDbg / masm

Сейчас на форуме: _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 00:58 · Личное сообщение · #1 у меня жуткая проблема :D пробую изучать ассемблер по самоучителю какому-то. вроде все норм было, вот только в последнее время появилась проблема с оллиДбг - загружая программу, даже самую простую, в пару строк, сам дебаггер выдает кучу каких-то неведомых инструкций. мало того, отыскав свой кусок кода в этом лесу (свой код в пару строк отыскать так и не смог) я никак не могу на него попасть - в самоучителе вроде все просто написано, да оно вроде раньше норм было - жмеш ф8 и норм... сейчас же на ф8 выполнив пару инструкций курсор перепрыгивает в пустые строки (DB 00). пробовал переустанавливать / рыться в настройках / ставить разные версии олли / от поисков в гугле уже голова болит...вообщем яхз, помогите плиз. заранее сорри за нубство, если чо

tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 25 октября 2011 02:10 · Личное сообщение · #2 а чем помочь-то?
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 02:19 · Личное сообщение · #3 т.е. это нормально, что при построчном выполнении программы в олли до кода самой программы курсор так и не доходит?
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 25 октября 2011 02:36 · Личное сообщение · #4 а что конкретно в оле построчно выполняется, если до кода самой программы курсор так и не доходит? может вы тупо стоите на EP программы, а не на OEP, и усердно трассируете ntdll ?
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 25 октября 2011 03:19 · Личное сообщение · #5 KILLandEAT пишет: сейчас же на ф8 выполнив пару инструкций курсор перепрыгивает + ПКМ->Analysis->Remove analysis from module
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 25 октября 2011 06:38 · Личное сообщение · #6 tihiy_grom пишет: может вы тупо стоите на EP программы, а не на OEP, и усердно трассируете ntdll ? EP - это EntryPoint, точка входа. Это то, место, откуда начинает выполняться программа OEP - это Original Entry Point, псевдопонятие, придуманное для разделения Entry Point пакера/протектора и Entry Point программы. В данном случае никакого OEP быть вообще не может, насколько я понял, ты писал про системную точку останова (System Breakpoint) к Entry Point это не относится, это всего лишь нотификатор системы о начале инициализации структур PE файла. Сори за оффтоп, просто не понимаю, почему все пишут OEP, говоря про точку входа в PE файл. ----- Yann Tiersen best and do not fuck \| Сообщение посчитали полезным: tihiy_grom
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 25 октября 2011 10:48 · Личное сообщение · #7 KILLandEAT Выложите код, который пишете, и бинарник, который отлаживаете. ----- Stuck to the plan, always think that we would stand up, never ran.
drone Ранг: 85.4 (постоянный), 51thx Активность: 0.09↘0 Статус: Участник	Создано: 25 октября 2011 11:21 · Личное сообщение · #8 1) нужно в настройках ольги поставить остановку на EP, а не на WinMain 2) поставить плагин cleanupex и почаще чистить udd'шки (можно вручную) 3) при виде непонятного кода требуется переанализировать модуль (CTRL+A)
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 15:34 · Личное сообщение · #9 код программы Code: .386 .model flat, stdcall option casemap: none include \lab\assembler\include\kernel32.inc include \lab\assembler\include\windows.inc include \lab\assembler\include\user32.inc includelib \lab\assembler\lib\kernel32.lib includelib \lab\assembler\lib\user32.lib SSIZE equ 1000 BSIZE equ 15 .data? PrimeNumbers DWORD SSIZE dup(?) .data ifmt BYTE "%d", 0 buf BYTE BSIZE dup(?) crlf BYTE 0dh, 0ah stdout DWORD ? cWritten DWORD ? .code start: invoke GetStdHandle, STD_OUTPUT_HANDLE mov stdout, eax mov ebx, 3 ;pervoe prostoe 4islo mov edi, 0 ;nulevoi element massiva mov ebp, 0 ;c4et4ik prostih 4isel nxtdig: ; mov edx, 0 ;provep9emoe 4islo - edx:eax mov eax, ebx ;v ebx hranim 4islo v processe deleni9 mov ecx, ebx ; sub ecx, 2 ;ecx - 4islo proverok(menshe 4isla na 2) mov esi, 2 ;pervii delitel nxtpr: div esi cmp edx, 0 jz skip mov edx, 0 mov eax, ebx inc esi loop nxtpr ; ecx-1 mov PrimeNumbers[edi], ebx inc ebp cmp ebp, SSIZE jz done add edi, 4 skip: inc ebx jmp nxtdig done: mov ecx, SSIZE mov edi, 0 show: push edi push ecx invoke wsprintf, ADDR buf, ADDR ifmt, PrimeNumbers[edi] invoke WriteConsoleA, stdout, ADDR buf, BSIZE, ADDR cWritten, NULL invoke WriteConsoleA, stdout, ADDR crlf, 2, ADDR cWritten, NULL pop ecx pop edi add edi, 4 loop show invoke ExitProcess, 0 end start бинарник прикрепил. скрин олли с загруженным бинарником(остановка на еп стоит) SReg пишет: ПКМ->Analysis->Remove analysis from module заменило дб 00 на ADD BYTE PTR DS:[EAX], AL drone пишет: 3) при виде непонятного кода требуется переанализировать модуль (CTRL+A) ничего не меняется 07c3_25.10.2011_EXELAB.rU.tgz - 4.exe
SVLab Ранг: 133.4 (ветеран), 57thx Активность: 0.11↘0 Статус: Участник	Создано: 25 октября 2011 15:56 · Личное сообщение · #10 В приаттаченном exe нормальный код: Code: 00401000 >/$ 6A F5 PUSH -0B ; /DevType = STD_OUTPUT_HANDLE 00401002 \|. E8 B5000000 CALL <JMP.&kernel32.GetStdHandle> ; \GetStdHandle 00401007 \|. A3 14304000 MOV DWORD PTR DS:[403014],EAX 0040100C \|. BB 03000000 MOV EBX,3 Почему на твоей картинке такой, х.з.
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 25 октября 2011 16:18 · Личное сообщение · #11 KILLandEAT запусти программу в оле по F9. если EP после запуска станет правильной - значит у тебя засранчег в системе сидит
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 16:33 · Личное сообщение · #12 tihiy_grom через ф9 все норм проходит, мало того, если вовремя нажать паузу, то можно попасть в мой код, ге дальше все норм идет по ф8. tihiy_grom пишет: если EP после запуска станет правильной - значит у тебя засранчег в системе сидит а когда она должна стать правильной? когда перезапучкаю через ктрл+ф2? если да, то ничего не меняется, еп та же.
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 25 октября 2011 16:42 · Личное сообщение · #13 KILLandEAT пишет: а когда она должна стать правильной? когда перезапучкаю через ктрл+ф2? если да, то ничего не меняется, еп та же. я не знаю как ещё более по-русски сказать ... tihiy_grom пишет: запусти программу в оле по F9. если EP после запуска станет правильной
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 25 октября 2011 16:44 · Личное сообщение · #14 KILLandEAT E9 FB EF 6F 71 в начале, это JMP 71B00000. У тебя явно вирус на компьютере. ----- Yann Tiersen best and do not fuck \| Сообщение посчитали полезным: ajax, KILLandEAT
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 25 октября 2011 16:50 · Личное сообщение · #15 KILLandEAT Твой файл на скринах EP изменён на JMP 00B00000 тоесть какаято программа меняет оригинальную точку входа на прыжок в область памяти где видимо рассположен её код(троян или вирус либо какая либо прога ?) нажми F7 и сделай скрин этого участка . ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 17:03 · Личное сообщение · #16 ClockMan
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 25 октября 2011 17:18 · Личное сообщение · #17 KILLandEAT Явно троян чистой воды... ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: KILLandEAT
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 17:23 · Личное сообщение · #18 спасибо всем за ответы, чот комодо на него не реагирует, шас чонить другое поставлю
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 25 октября 2011 17:25 · Личное сообщение · #19 KILLandEAT пишет: шас чонить другое поставлю Скачай AVG или Aviru(правдо он орёт на всё что движется и недвижетчя) и поставь виртуальную машину и на ней проводи эксперименты(влюбой момент можно откатится если что). ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 17:36 · Личное сообщение · #20 ClockMan пишет: Скачай AVG или Aviru а аваст неочень? прост к нему привык (стоял до комодо у меня)
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 25 октября 2011 18:01 · Личное сообщение · #21 KILLandEAT пишет: а аваст неочень? Сигнатурное гавно, как им еще пользуются ----- Yann Tiersen best and do not fuck
dimka_new Ранг: 33.8 (посетитель), 38thx Активность: 0.06↘0 Статус: Участник	Создано: 25 октября 2011 18:35 · Поправил: dimka_new · Личное сообщение · #22 Мое имхо - скачай какую-нибудь сборку каспер\веб - и проверь непосредственно с CD\dvd диска, а ставить нового антивиря при активном вирусе не айс
temporary_ Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 18:44 · Личное сообщение · #23 KILLandEAT Выключи проактивную защиту(COMODO)
KILLandEAT Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 25 октября 2011 19:53 · Личное сообщение · #24 вообщем там где комодо ничего не находил аваст нашел 1 вирус при первом скане и потом еще 4 при запланированном до загрузки системы. все вроде заработало как надо. щас удалил аваст и разбираюсь с авг(мож тоже чонить нового найдет:s1. всем спасибо за помощь.
drone Ранг: 85.4 (постоянный), 51thx Активность: 0.09↘0 Статус: Участник	Создано: 26 октября 2011 13:33 · Личное сообщение · #25 в вашу голову не приходила мысль, что этот jmp заинжектил сам комодо? в нем кроме антивируса есть hips
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 26 октября 2011 14:46 · Личное сообщение · #26 а что, нынче антивирусы ставят джампы на EP у каждого файла?
int 26h Ранг: 11.4 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 26 октября 2011 19:42 · Личное сообщение · #27 на резидентность похоже!
drone Ранг: 85.4 (постоянный), 51thx Активность: 0.09↘0 Статус: Участник	Создано: 27 октября 2011 12:52 · Личное сообщение · #28 tihiy_grom, в нем есть проактивка и еще какая-то лабуда
bowrouco Ранг: 47.7 (посетитель), 17thx Активность: 0.09↘0 Статус: Участник	Создано: 30 октября 2011 12:07 · Личное сообщение · #29 > Явно троян чистой воды... Это стаб комода для подгрузки guard32 через APC.

Для печати