OllyDbg: ALT-F9 - не работает

Сейчас на форуме: asfa, Rio (+6 невидимых)

Посл.ответ	Сообщение
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2013 17:07 · Личное сообщение · #1 Сидел изучал туториалы от lena151 по этой ссылке http://tuts4you.com/download.php?list.17 Дошел до 4 туториала где разбирается реверс приложения под названием pixtopian book. В обучающем ролике lena запустила программку через olly, потом вызвала сообщение о триальном периоде (при попытке создать более 3 групп). Далее не закрывая окна с сообщением переключилась в Olly и нажала "Pause". Olly остановилась на инструкции retn, потом lena нажала ALT + F9, чем вызвала прерывание по возвращению в user mode (то есть можно было вернуться в программу, нажать на "ОК" и попасть по пркрыванию на то место, откуда вызвалась программа). Я попробовал остановить программу в Olly 2.0 и программа остановилась НЕ НА ИНСТРУКЦИИ retn, естественно после нажатия ALT+F9 ничего не произошло и окно с сообщением осталось недоступным (нажать "ОК" нельзя). Я установил Olly 1.10 - проделал всё вышеописанное. В результате программа всё равно не останавливается в том же месте, как и в туториале, и более того после нажатия ALT+F9 ничего не происходит (программа остается остановленной и кнопку нажать нельзя). Подскажите с чем это связано? Как с этим справиться или обойти этот момент? Интересуют варианты для обеих версий OllyDbg

DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 17:10 · Личное сообщение · #2 125874 пишет: Подскажите с чем это связано? Завершился процесс. Возможные причины: 1) возникло исключение в коде программы, а подходящего обработчика нет 2) сработал антиотладочный трюк В логе ольки есть что-нибудь полезное? ----- IZ.RU
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2013 17:23 · Личное сообщение · #3 DenCoder пишет: Завершился процесс. Возможные причины: Да нет, вы ошиблись! Ничего не завершилось. Программа просто остановилась, но нажать никуда нельзя. Если отменить ожидание, то программа дальше работает как обычно. ВОпрос в том, почему у меня не совпадает ожидаемое (то что в туториале) и реальное (то что у меня в ольке)
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 17:39 · Личное сообщение · #4 Да, признаю, поспешил с выводами 125874 пишет: Olly остановилась на инструкции retn она могла остановиться где угодно в цикле обработки сообщений появившегося окна, retn - просто так совпало. ALT-F9 - это способ, чтоб быстрее добраться до адреса после места вызова окна ----- IZ.RU
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2013 17:42 · Личное сообщение · #5 DenCoder пишет: чтоб быстрее добраться до адреса после места вызова окна Да. Я понял, просто коряво объяснил. Но именно добраться до места возврата и не получается. Программа после нажатия ALT+F9 остается недоступна. Может где-то в настройках я ошибся?
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 17:45 · Поправил: DenCoder · Личное сообщение · #6 Ну у меня всё получилось - после нажатия на кнопку OK EIP оказался после call MessageBoxA Code: CPU Disasm Address Hex dump Command Comments 0045630B \|> \FF7424 10 PUSH DWORD PTR [Arg3] ; /Type = MB_OK\|MB_ICONHAND\|MB_DEFBUTTON1\|MB_APPLMODAL 0045630F \|. 50 PUSH EAX ; \|Caption 00456310 \|. FF7424 10 PUSH DWORD PTR [Arg1] ; \|Text => [Arg1] 00456314 \|. 51 PUSH ECX ; \|hOwner = 7C91005D 00456315 \|. FF15 04564700 CALL [<&USER32.MessageBoxA>] ; \USER32.MessageBoxA 0045631B \|. 5E POP ESI ; PTR to ASCII "ȱG" Альтернативный способ (в данном случае) - в модуле PixtopianBook.exe нажать Ctrl-N, выбрать из списка MessageBoxA -> Ctrl-R -> F2 на каждой строке, пока все не станут красными. Но это устанавливает точки останова перед вызовами MessageBox ----- IZ.RU
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 17:52 · Поправил: DenCoder · Личное сообщение · #7 del ----- IZ.RU
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2013 17:57 · Личное сообщение · #8 DenCoder пишет: Ну у меня всё получилось Так. Я запустил другую программу - проделал всё вышеописанное и у меня тоже всё сработало. Но с программкой pixtopian почему-то не работает (ни с одним из диалоговых окон). После нажатия ALT+F9 программа как-бы зависает и перестает реагировать (нельзя даже переключиться на неё). Я так понял что она перестает ловить системные события (иначе не могу объяснить). Даже если нажать Run она всё равно "висит" пока не перезапустить Ольку. С другими программами нормально - в чем может быть проблема? Может надо выставить какие-то настройки или права для pixtopian?
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 18:05 · Личное сообщение · #9 Какая ОС? ----- IZ.RU
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2013 18:14 · Личное сообщение · #10 Windows 7 x64 Ольку запускаю под правами администратора (без них не могла читать библиотеку NVIDIA)
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 18:41 · Личное сообщение · #11 Проверил под 7 x64, всё ок. Попробуй файл настроек для оли 2 1877_13.10.2013_EXELAB.rU.tgz - ollydbg.ini ----- IZ.RU
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2013 19:14 · Личное сообщение · #12 Попробовал - не помогает. Переустановил исследуемую программу - не помогает.
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 октября 2013 19:22 · Личное сообщение · #13 Пожалуйста посмотрите правильно ли я всё делаю: http://youtu.be/LLmS00pWmZ4
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 21:30 · Личное сообщение · #14 Ошибок не видно. Попробуйте --> свежую версию olly <-- ----- IZ.RU
125874 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 21 октября 2013 23:19 · Личное сообщение · #15 Ещё вопрос возник. А подобная функция есть в IDA ?

Для печати