 |
eXeL@B —› Вопросы новичков —› Трассировка в OllyDBG, исключения... |
| Посл.ответ | Сообщение |
|
|
Создано: 12 октября 2013 21:23 · Личное сообщение · #1 Здравствуйте, работаю в OllyDBG, при трассировке встречается такое: Code:
После этого трассировка заканчивается, хотя написан статус tracing, и файл лога соотв-нно не растет больше. Сама же программа под отладчиком запускатся нормально. Трассирую как trace into и over system dll У меня такие вопросы: 1. Правильно я понимаю, что исключение было запрограммировано и, при сборке добавилось INT3 ? 2. Почему OllyDBG не продолжает трассировать, когда управление снова передается в этот же модуль? Есть способы сделать, чтобы трассировалось и после исключений? p.s. Также бывает, что трассировка прекратилась так как тред завершился, но программа продолжает выполняться в новом модуле. Можно как-то заставить olly продолжить трассировать?  |
|
|
Создано: 12 октября 2013 22:48 · Личное сообщение · #2 Покажите ваши настройки вкладки Exceptions в Ольке. |
|
|
Создано: 13 октября 2013 00:17 · Поправил: DenCoder · Личное сообщение · #3 Robix пишет: 1. Правильно я понимаю, что исключение было запрограммировано и, при сборке добавилось INT3 ? Бывают исключения. Например, когда программа накрыта пакером, а софт бряк поставлен до анпака в коде, который копируется в другое место. В этом случае скопируется анпакером не реальная инструкция, а именно int3 Но в данном случае 2 строки кода напоминают Code:
----- IZ.RU |
|
|
Создано: 13 октября 2013 01:27 · Личное сообщение · #4 Пиздец это, а не отладчик. Пригоден только для отладки своих кодов. Имхо. |
|
|
Создано: 13 октября 2013 04:51 · Личное сообщение · #5 А какой отладчик посоветуешь? Я в syser'е выбрал этот exe-шник, syser вообще его не проигнорировал. |
|
|
Создано: 13 октября 2013 04:54 · Личное сообщение · #6 Да нормальный это отладчик, убери "step over system dll", проверь в excetions, что стоит галка на int 3, и увидишь, как трасса покажет код обработчика исключения. ----- IZ.RU |
|
|
Создано: 13 октября 2013 05:21 · Личное сообщение · #7 Спасибо, я тоже об этом подумал. В итоге процесс завершился к сожалению. Вот получилось такое(между точками множество инструкций): Code:
Видимо модуль как-то понимает, что идет трассировка, либо что-то еще происходит. Плагины антиотладки использую. |
|
|
Создано: 13 октября 2013 05:57 · Личное сообщение · #8 Подгружается mscoree.dll, а это .NET ----- IZ.RU |
|
|
Создано: 13 октября 2013 15:02 · Поправил: Robix · Личное сообщение · #9 В программе есть ф-ция DialogBoxParamA, до которой я хочу дотрассировать с определенного места. и если я ставлю на нее bp, и делаю run, то дохожу. Если же трассирую, то не дохожу, а попадаю на завершения процесса. Отсюда вывод, что есть защита. Что можете посоветовать, чтобы остаться незамеченным во время трассировки, какие плагины, настройки может быть? |
|
|
Создано: 18 октября 2013 13:14 · Поправил: DenCoder · Личное сообщение · #10 Phantom plugin? Не гарантирую, что что-то даст, но можешь попробовать найти в иде инструкции pushfd, pushf. А вообще в любом отладчике по дефолту должен быть сброс флага TF в стеке, если предыдущая инструкция pushf(d), а почему-то нет. ----- IZ.RU |
|
|
Создано: 21 октября 2013 16:20 · Личное сообщение · #11 DenCoder ололо Code:
Есть плаг, который это обойдёт ? |
|
|
Создано: 21 октября 2013 16:24 · Личное сообщение · #12 Dr0p пишет: Есть плаг, который это обойдёт ? debugger.pyd? |
|
|
Создано: 21 октября 2013 16:31 · Поправил: Dr0p · Личное сообщение · #13 F_a_u_s_t Берём любую апи, которая нт стаб юзает, например CloseHandle(). Мы не вызываем её напрямую через импорт, а генерим вызывающий код в буфер, тогда при трассировке не будет обхода, так как код будет уже не в скипаемом модуле. Из юзермода это не обойти. Не удивительно что тут никто мой кряк не осилил(хотя один человек всё же одолел) 
|
|
|
Создано: 21 октября 2013 16:36 · Личное сообщение · #14 Dr0p пишет: Не удивительно что тут никто мой кряк не осилил Даже не смотрел, ибо не интересно, по поводу буфера, можно чекать память и там всплывет сигнатура, только затратно по времени, против python'a это бесполезно, единственное что нужно, это знать саму технологию детекта. |
|
|
Создано: 21 октября 2013 16:41 · Личное сообщение · #15 F_a_u_s_t Этот очень годный метод на x86, но не юзается только потому, что не совместим с wow. В противном случае это альтернатива VMBE, фактически совершенный антиэмуль(аверский). Ну а память как чекать(вызов ?), если TF сбрасывается элементарно. NtContinue например. Конечно, можно сутками исполнять(pin), но врятле что годное получится, тайминг 
|
|
|
Создано: 21 октября 2013 16:48 · Личное сообщение · #16 Dr0p пишет: можно сутками исполнять(pin), но врятле что годное получится, тайминг Если долго мучиться, что нибудь получится. Будет цель, будем чесать темечко, а пока это сферическая задача, собственно в ав конторах из за таких задач плагины пилят ибо под общее решение не подходит и решают частными способами. |
|
|
Создано: 21 октября 2013 16:51 · Поправил: Dr0p · Личное сообщение · #17 F_a_u_s_t Они до сих пор с вмбе ничего не решили. Аверов уже давно нет, это всё фейк для тех, кто в них уверовал. У меня знакомый есть, магл, шекеля за линцензию флая отвалил. Он верит 
|
|
|
Создано: 21 октября 2013 16:55 · Поправил: F_a_u_s_t · Личное сообщение · #18 Dr0p пишет: Они до сих пор с вмбе ничего не решили. Когда будет запилин трой для банкинга, тогда будут решать, а сейчас то им зачем суетиться, спасти мир и пиарицо не получится, как с тухнетом, и флеймом. Лицензия флая, смешно.  Напомнил знакомого, тот на avz фапал, пока ему тупо не переписал базы и в лечение не добавил пинча, avz сам его в автозагрузку прописал. 
|
|
eXeL@B —› Вопросы новичков —› Трассировка в OllyDBG, исключения... |
Для печати