OllyDbg слежка за чтением памяти.

Сейчас на форуме: asfa, Rio (+6 невидимых)

Посл.ответ	Сообщение
Alexus2006 Ранг: 34.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 26 марта 2013 22:23 · Поправил: Alexus2006 · Личное сообщение · #1 Есть процесс который аллочит некоторый обьем памяти. OllyDbg по этому поводу сообщает: Memory map, item 751 Address=79E00000 Size=00500000 (5242880.) Owner= 79E00000 (itself) Section= Type=Priv 00021004 Access=RW Initial access=RW буфер 5 мегабайт успешно создан Далее этот процесс помещает туда некоторые данные, а затем начинает их от туда читать, выглядит это так: 0093294E \|. 50 PUSH EAX ; /n 0093294F \|. 03CA ADD ECX,EDX ; \| 00932951 \|. 51 PUSH ECX ; \|src 00932952 \|. 56 PUSH ESI ; \|dest 00932953 \|. E8 547A3B00 CALL <JMP.&MSVCR90.memcpy> ; \memcpy dest - может быть разный, то в стек, то ещё куда... Вот теперь собственно вопрос: можно ли каким-то образом сохранить в файле порядок чтения данных из ~~этого файла~~ из этой области памяти? например: Количество прочитанных байт, смещение, сами байты и куда(адрес) Люди добрые, я конечно не спец в отладке приложений, но надеюсь это поможет мне в разборе формата этих файлов и поиска некоторых структур данных. Кто знает как такое можно сделать подскажите пжлста...

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 26 марта 2013 22:34 · Личное сообщение · #2 Из этого файла-это из какого? Пока я файла тут не вижу. Если именно файл нужно отловить, Process Monitor можно взять. Если нужно memcpy ловить, ставь на него бряк с ведением лога. Лог потом сохранишь, если хочется.
Alexus2006 Ранг: 34.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 26 марта 2013 22:58 · Личное сообщение · #3 опечатка вышла. "бряк с ведением лога" можно подробнее про это?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 26 марта 2013 23:06 · Личное сообщение · #4 Точек останова основных в ольке 3: обычный, условный (обычный с условием) и с ведением лога (условный+ведение лога, в том числе аргументы функции может логать), читай ман по ольке. Возможно, он сгодится. А из лога и в файл можно сохранить при желании. Как вариант-скрипт написать с выводом в лог. \| Сообщение посчитали полезным: Alexus2006, Abraham, WinniePh
Alexus2006 Ранг: 34.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 28 марта 2013 22:42 · Личное сообщение · #5 Помогите с олли скриптом пжлста ? var b // байты копируемые memcpy var n // sizeof(b) bp 00932953 //бряк на memcpy eob llog run coe nextbp: run llog: log eax log ecx log esi mov n, eax mov b, [ecx], n logbuf b, n jmp nextbp идея в том чтобы сохранить в лог параметры вызываемого memcpy и сами байты которые копирует memcpy. Что то такой скрипт не работает В чем дело не пойму. Сам вызов memcpy в первом сообщении.
Alexus2006 Ранг: 34.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 31 марта 2013 21:02 · Личное сообщение · #6 Вопрос закрыт.

Для печати