Всем добрый день господа и дамы!
Как посмотреть маску FindPattern в OllyDbg

Вот исходный код финдпаттерна

DWORD Hack = FindPattern(Адрес, откуда начинаем искать,диапазон сканирования,[Байты, которые ищем],[Байты, в виде маски]);
Пример:
DWORD Hack = FindPattern(frostcollector.dll,0x100500,(PBYTE)"\x90\x90\x90\x90\x90,"xxxxxxxxxx");

В отладчике заместо байтов будет стоять маска "xxxxxxxxxx" как вскрыть байты? помогите пожалуйста.


P.S: И можно узнать чем запакована длл-ка


eeb5_20.03.2012_EXELAB.rU.tgz - Test.dll

| Сообщение посчитали полезным:

мой мозг плакать и горевать и не понимать что делать в эта ситуация ай-ай-ай

спросите по-русски, чтобы стало понятно - что такое "вскрыть байты" ?

| Сообщение посчитали полезным:

ctrl+b? хотя реально какая-то чушь написана

| Сообщение посчитали полезным: DimitarSerg

Видите строчку ASCII "xxxxxxxxxx" на скриншоте, это отображается маска FindPattern, которую указали в исходном коде DWORD Hack = FindPattern(frostcollector.dll,0x100500,(PBYTE)"\x90\x90\x90\x90\x90-это рабочие байты, которые взаимодействуют с frostcollector.dll,"xxxxxxxxxx- вот эта "маска" отображается в отладчике OllyDbg");
Маска-отображение левого кода.
Мне нужно узнать байты которые взаимодействуют с frostcollector.dll, я не пойму просто как их посмотреть, если отображается только "маска"

| Сообщение посчитали полезным:

KokoIN
видите строчку которую вы сами указали?
DWORD Hack = FindPattern(frostcollector.dll,0x100500,(PBYTE)"\x90\x90\x90\x90\x90,"xxxxxxxxxx");
так вот в отладчике видимо как раз и отображается xxxxxxxxxx из этой строчки

а указатель на массив байтов (PBYTE)"\x90\x90\x90\x90\x90 может находиться где угодно. исследуйте внутренности своей процедуры FindPattern

| Сообщение посчитали полезным:

сдается мне что массив это mov ebx,6e16b7ac

| Сообщение посчитали полезным:

KokoIN пишет:
P.S: И можно узнать чем запакована длл-ка


KokoIN пишет:
Мне нужно узнать байты которые взаимодействуют с frostcollector.dll, я не пойму просто как их посмотреть, если отображается только "маска"
По китайски понятнее будет.

Есть некая функция - FindPattern, оперирующая данными - (Адрес, откуда начинаем искать,диапазон сканирования,[Байты, которые ищем],[Байты, в виде маски]). Вам нужно найти в коде этой функции переменную - [Байты, которые ищем], точнее узнать, что она из себя представлят в ассемблерном коде, (данные из стека, регистров, ячейки памяти) так?

| Сообщение посчитали полезным: KokoIN

Сдается мне, что топикстартер под тем, что являет его ник.

| Сообщение посчитали полезным: ClockMan, DimitarSerg

Vovan666 пишет:
сдается мне что массив это mov ebx,6e16b7ac

нет, должно быть 10 символов (смотри на маску состоящая из 10 - x, каждый X число от 1 до F, 0 - обозначается в "маске" - "?" знаком.

Konstantin пишет:
Вам нужно найти в коде этой функции переменную - [Байты, которые ищем], точнее узнать, что она из себя представлят в ассемблерном коде, (данные из стека, регистров, ячейки памяти) так?

Да.

| Сообщение посчитали полезным:

Если значение переменной известны, то проще поставить бряк на начало функции и потрассировать. Оценить алго по вашим скринам - зрение сломаешь.

Выкладывайте скрины лучше с превью, и картинку заливайте на хостинг без изменения размера. Есть еще соответствующий bbcod на этом форуме, чтобы выложить код в текстовом виде.

| Сообщение посчитали полезным:

чего там трассировать? в функцию передаётся 4 параметра.
Когда в отладчике мы зашли в эту функцию - все эти 4 параметра лежат в стеке. Не судьба что ли их посмотреть?

KokoIN
почитали бы что ли как с ollydbg работать. ибо вообще непонятно как вы с такими знаниями собрались ломать FROST

| Сообщение посчитали полезным:

tihiy_grom пишет:
Когда в отладчике мы зашли в эту функцию - все эти 4 параметра лежат в стеке. Не судьба что ли их посмотреть?
Поподробнее можно со стеком

| Сообщение посчитали полезным:

tihiy_grom пишет:
чего там трассировать? в функцию передаётся 4 параметра.Когда в отладчике мы зашли в эту функцию - все эти 4 параметра лежат в стеке. Не судьба что ли их посмотреть?
Видимо судьба у всех разная. Напомню название ветки - Вопросы новичков. Сможет автор топика посмотреть в стеке, я не знаю, также я не знаю сможте ли потрассировать.

P.S.
Вот и ответ.
KokoIN пишет:
Поподробнее можно со стеком

| Сообщение посчитали полезным:

KokoIN в окне дампа, ctlr+g 6AF9B7AC

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

А смысл тут в чем? типа x - это 78? и "?" знак = 3F




| Сообщение посчитали полезным:

KokoIN пишет:
А смысл тут в чем? типа x - это 78? и "?" знак = 3F
Допустим сигнатура - 010203, маска - x?x

Вот байты сигнатуры - 01, 03 будут сравниваться в цикле, а байт 02 будет игнорироваться(может быть любым).
Т.е. мы ищем - 01??03.

Чё куришь? Поделись.
Кoму, зачем и для чего нужны такие байты? В EAX находится адрес - 6af5b3e0. Байты выделенные красным это тот же адрес в текстовом виде.

| Сообщение посчитали полезным:

Чё куришь? Поделись.
По нику же видно...

-----
Everything is relative...

| Сообщение посчитали полезным:

Konstantin пишет:
Допустим сигнатура - 010203, маска - x?x
Будет маска - xxx, так как ? знак = \x00, я пример привел в стеке, как должны выглядеть байты скрывающийся за маской.


Vamit пишет:
По нику же видно...
Да ты остряк, лучше помог бы разобраться.

| Сообщение посчитали полезным:

KokoIN пишет:
как должны выглядеть байты скрывающийся за маской.
Маска нужна не для того чтобы что то скрыть, а для того чтобы показать, какие байты сигнатуры(паттерна) учитывать при её поиске по коду, а какие нет.

| Сообщение посчитали полезным:

Konstantin пишет:
Маска нужна не для того чтобы что то скрыть, а для того чтобы показать, какие байты сигнатуры(паттерна) учитывать при её поиске по коду, а какие нет.
Ну вот как посмотреть байты ? вообще можно ли посмотреть байты(паттерна) в отладчике, кто-то сталкивался с такой проблемой?

| Сообщение посчитали полезным:

ЭЭЭЭЭ, мдя.

Hellspawn пишет:
KokoIN в окне дампа, ctlr+g 6AF9B7AC

Вроде уже ответили, или всё по кругу? Вот по этому адресу - 6AF9B7AC паттерн и находится. Удобнее всего его посмотреть в окне дампа отладчика.

P.S. Вот сюда загляните. --> Link <--

| Сообщение посчитали полезным:

Konstantin, вот смотри.



P.S: Где тут можно увидеть байты паттерна? покажи плиз, а то я туплю...

| Сообщение посчитали полезным:

ну давайте третий раз попробуем ...

Hellspawn пишет:
KokoIN в окне дампа, ctlr+g 6AF9B7AC
сейчас надо будет очень сильно напрячься, чтобы третий раз не протупить с адресом, и в окне дампа перейти именно на тот адрес, который указан в строке

и надо снова не протупить, и не лезть в окно дампа именно по этому адресу - потому что ImageBase у библиотеки будет другой, и адрес тоже изменится с учетом этой новой ImageBase.
и следующий вопрос наверное будет такой - а что такое ImageBase, да?

я вот только одного не могу понять (у меня много вопросов сейчас к вам будет)
- на кой черт вам сдались эти байты?
- что это вам даст, если вы их посмотрите в отладчике?
- почему не посмотреть эти байты в стеке, куда они передаются как параметр для функции?
- почему сначала не почитать где находится окно стека в отладчике ollydbg ?
- почему сначала не почитать цикл статей "Введение в крэкинг с нуля, используя OllyDbg", ссылку на которые дал Konstantin ?

| Сообщение посчитали полезным:

KokoIN пишет:
Konstantin, вот смотри.
Если программу постоянно перезагружать в отладчике, то длл каждый раз грузится по разным адресам. Чтобы узнать адрес сигнатуры нужно заново отыскать тот код. А именно строку

Но адрес соответственно будет уже другой, и вот по этому адресу пройти в окне дампа отладчика.

Судя по приведенному коду в посте выше длл была загружена предположительно по базе 6e4?????, соответственно адрес сигнантуры будет - 6e4aB7AC

KokoIN пишет:
P.S: Где тут можно увидеть байты паттерна? покажи плиз, а то я туплю...
6E4AB798, а нужно 6e4aB7AC.

P.S. Щас посмотрел что написал, и я уже под столом. Заразительно однако.
Да действительно адреса теже.
А что смущает в данной сигнатуре ?
E8 F8 0F 00 00 8B C3 8B 4D F4 00 ... не знаю её длину.
Сама сигнатура что из себя должна предсталять? Часть кода, текстовою строку, какие то другие данные?

| Сообщение посчитали полезным:

Konstantin пишет:
Сама сигнатура что из себя должна предсталять? Часть кода, текстовою строку, какие то другие данные?

Сигнатура должна из себя представлять цифры и буквы из шестнадцатеричной системы счисления, вот например маска "xxxxxxxxxx" состоит из 10 x, в ней нет ? знака - а значит что двух нулей соответственно нет.
Пример сигнатуры \x90\x90\x90\x90\x90 - тут могут быть другие значения от 1 до F, исключение составляет \x00 = ? знак.

| Сообщение посчитали полезным:

KokoIN пишет:
Пример сигнатуры \x90\x90\x90\x90\x90 - тут могут быть другие значения от 1 до F
значения от 00 до ff

KokoIN пишет:
исключение составляет \x00 = ? знак.
Исключений нет, так как присутствует маска, которая в данном случае определяет ещё длину сигнатуры, а вот если бы маски не было, то было бы исключение.

E8F80F00008BC38B4DF4 - сигна
xxxxxxxxxx или (78787878787878787878) или (\x78\x78\x78\x78\x78\x78\x78\x78\x78\x78) - маска

Что не так?

| Сообщение посчитали полезным:

Konstantin, где ты взял 78, и всего должно получится 10 символов, у тебя их 20.
P.S: Байты должны соответствовать маске (я не могу найти в коде полного соответствия с маской)

| Сообщение посчитали полезным:

KokoIN пишет:
где ты взял 78
KokoIN пишет:
А смысл тут в чем? типа x - это 78?
Именно.

KokoIN пишет:
10 символов
Ай яй яй. Должно быть 10 байт.

в виде дампа байтов:
E8F80F00008BC38B4DF4 - сигна
78787878787878787878 - маска

в текстовом виде:
\xE8\xF8\x0F\x00\x00\x8B\xC3\x8B\x4D\xF4 - сигна
\x78\x78\x78\x78\x78\x78\x78\x78\x78\x78 - маска

| Сообщение посчитали полезным:

Konstantin пишет:
Ай яй яй. Должно быть 10 байт.
не 10 байтов =) 10 символов.

\xE8\xF8\x0F\x00\x00\x8B\xC3\x8B\x4D\xF4 - "xxxxxx??xxxxxxxxxx" = так будет выглядеть маска, а нужно "xxxxxxxxxx"

| Сообщение посчитали полезным: