| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Отсутствует Call Stack в OllyDbg |
| Посл.ответ | Сообщение |
|
|
Создано: 12 сентября 2014 16:17 · Личное сообщение · #1 Приветствую. С чем может быть связано отсутствие какой-либо информации в Call Stack'е, показываемом OllyDbg, в момент остановки приложения по бряку? При этом Call Stack заполняется, если прыгать по исходному коду при помощи F7 - F8. Судя по выводу DiE 0.9.0, приложение защищено VMProtect 2.xx, однако сам исходный код доступен для отладчика (единственная сложность в этом плане возникла с невозможностью подключить отладчик, но это решилось несколькими опциями в StrongOD). В чём может быть дело? Или для OllyDbg это вполне нормальная ситуация? Заранее благодарю за возможные ответы.  |
|
|
Создано: 12 сентября 2014 16:25 · Личное сообщение · #2 Посмотри в Stack-окне есть ли там RETURN-ы , скорее всего esp сильно сдвигается. |
|
|
Создано: 12 сентября 2014 16:49 · Личное сообщение · #3 b0r3d0m пишет: приложение защищено VMProtect 2.xx, однако сам исходный код доступен для отладчика Фейспалм. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 12 сентября 2014 23:04 · Личное сообщение · #4 А что не так? |
|
|
Создано: 13 сентября 2014 03:14 · Личное сообщение · #5 ну, во-первых отлаживаешь ты не source code, а результат работы дизасма. Во-вторых, фразу b0r3d0m пишет: приложение защищено VMProtect 2.xx, однако сам исходный код доступен для отладчика (единственная сложность в этом плане возникла с невозможностью подключить отладчик, но это решилось несколькими опциями в StrongOD) можно укоротить так: обошел антиотладку при помощи StrongOD. Но это ARCHANGEL просто придирается  b0r3d0m пишет: Или для OllyDbg это вполне нормальная ситуация? это нормальная ситуация для vmp. Vovan666 все правильно написал. |
|
|
Создано: 13 сентября 2014 16:45 · Поправил: DenCoder · Личное сообщение · #6 b0r3d0m пишет: С чем может быть связано отсутствие какой-либо информации в Call Stack'е, показываемом OllyDbg Gideon Vi пишет: это нормальная ситуация для vmp. Всё дело в том, что в vmp-коде esp может много раз меняться в невалидный/валидный указатель и над ним даже могут производиться "некорректные" операции. call stack тут будет только сбивать с толку. b0r3d0m пишет: если прыгать по исходному коду при помощи F7 - F8. По F8 может быть непредсказуемый результат, поскольку call в vmp тоже, чтобы сбить с толку. )) Поведение vmp-кода отличается от поведения кода c классическим подходом. call по сути, это Code:
но push eip нет в x86, Что мешает распаковать? ) ----- IZ.RU |
|
|
Создано: 13 сентября 2014 20:16 · Поправил: b0r3d0m · Личное сообщение · #7 DenCoder пишет: Что мешает распаковать? ) Написать анпакер сам пока вряд ли смогу. А из готового что сейчас используют? Нашёл вот . Использовал кто-нибудь? Есть ли альтернативы или варианты получше? |
|
|
Создано: 14 сентября 2014 12:39 · Поправил: DenCoder · Личное сообщение · #8 b0r3d0m пишет: Нашёл вот такое. Использовал кто-нибудь? Использовали. Хороший скрипт для 1-ой ольки, хорошо распаковывает exe-файлы, и в некоторых случаях и dll может нормально распаковать, что можно пользоваться. Интерактивная штука - задаёт массу вопросов, на которые можно неподготовленному человеку отвечать, не задумываясь до достижения в одном из вариантов нужного результата. А там может и желание появится некоторую матчасть поизучать. Там кстати и видеотуториал в придачу. b0r3d0m пишет: Есть ли альтернативы или варианты получше? А смотря для чего! Нельзя из Вами написанного понять, что именно Вам надо... ----- IZ.RU |
|
eXeL@B —› Вопросы новичков —› Отсутствует Call Stack в OllyDbg |
Для печати