ollydbg - как установить бряк на доступ(не модификацию, а чтение) отладочных регистров?

Сейчас на форуме: igorcauret (+8 невидимых)

Посл.ответ	Сообщение
AlekId Ранг: 1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 28 июня 2014 17:20 · Поправил: AlekId · Личное сообщение · #1 вопрос в заголовке: ollydbg - как установить бряк на доступ(не модификацию, а чтение) отладочных регистров? --- Еще вопрос в Дельфи на срабатывание бряка можно повесить включение или отключение другого бряка(вернее, группы). Есть ли возможность в олли повторить такое?

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 28 июня 2014 18:03 · Личное сообщение · #2 В общем случае никак. Скрипт.
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 28 июня 2014 18:04 · Личное сообщение · #3 По хорошему, в ring3, кроме перехвата функций работы с контекстом потоков, типа GetThreadContext и контроль при использовании SEH, больше в принципе и никак. Вообще, правильней было задать вопрос: "как получить доступ к отладочным регистрам в третьем колечке".
AlekId Ранг: 1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 28 июня 2014 19:14 · Поправил: AlekId · Личное сообщение · #4 Archer пишет: В общем случае никак. Скрипт. это я так понимаю, ответ на вопрос об управлении бряками? То есть нет готового скрипта или плага? ELF_7719116 пишет: По хорошему, в ring3, кроме перехвата функций работы с контекстом потоков, типа GetThreadContext и контроль при использовании SEH, больше в принципе и никак. Вообще, правильней было задать вопрос: "как получить доступ к отладочным регистрам в третьем колечке". ага, то есть жертва может просто прочитать свой контекст по GetThreadContext , и проанализировать, какие бряки включены, и куда они указывают. У меня жертва тупит, если бряк на тело указывает( а на KERNELBASE вроде игнорит) Отсюда вопрос: нужен плаг для сокрытия состояния отладочных регов от жертвы. лучше конешно для olly 2, но и olly 1 пойдет. Есть такой? Я использую ScyllaHide, он вроде не делает этого, а только лишь защищает содержимое регистров.. глупо получается. А что там по SEH -- что есть возможность у жертвы прочитать на обработчике состояние DRx? Это как? Просветите... ELF_7719116 пишет: "как получить доступ к отладочным регистрам в третьем колечке". ну олька как-то справляется. Наверняка есть дрова, которые предоставляют такой интерфейс... Или нет? тот же WinRing0x64.dll WinRing0x64.sys эспортируют wrmsr и т. д. Может и отладочные регистры тоже как-то?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 28 июня 2014 21:20 · Личное сообщение · #5 AlekId пишет: это я так понимаю, ответ на вопрос об управлении бряками? Это были ответы на оба вопроса. Фантом плагин скрывает как запись, так и чтение бряков. Как через апи чтения контекста, так и через SEH, которому на вход приходит контекст. Но это скорее частные случаи. В общем случае софта нет.

Для печати