Приветствую.

Есть дизассемблированный код примерно следующего вида:



Инструкция в данном случае никогда не выполняется (это точно так -- проверялось на реальном приложении установкой бряка).

Но поведение приложения изменяется, если заменить на и занопать недостающий байт. В случае с ordinary breakpoint'ом в OllyDbg то же самое, ведь, если верить документации, они через и реализованы.

Скажите, пожалуйста, в чём может быть дело? Неужели от одного лишь наличия в коде могут появиться подобные side effect'ы? Может, это общеизвестное поведение, о котором лишь я один не в курсе?

Заранее благодарю за возможные ответы.

| Сообщение посчитали полезным:

в ольке бряки через EBFE реализованы. А когда ты туда клепаешь INT 3, то происходит необрабатываемое исключение

| Сообщение посчитали полезным:

1) Как это - TEST никогда не выполняется?
2) Каково назначение и результат выполнения инструкции TEST? И что поменяется, если не выполнять эту инструкцию?

| Сообщение посчитали полезным:

colorblind пишет:
в ольке бряки через EBFE реализованы
Точно? Просто в документации сказано следующее -- "Ordinary breakpoint, where the first byte of the command you want to break on is replaced by a special command INT3 (Trap to Debugger)".

colorblind пишет:
А когда ты туда клепаешь INT 3, то происходит необрабатываемое исключение
Как оно происходит, если код с INT3 никогда не выполняется? В этом-то и вопрос.

Добавлено спустя 2 минуты
dosprog пишет:
1) Как это - TEST никогда не исполняется?
Во время моих запусков приложения на него никогда не переходило исполнение.

dosprog пишет:
2) Каково назначение и результат выполнения инструкции TEST?
Какое назначение -- не знаю. Данная инструкция не выполняется, я писал об этом в начале.

| Сообщение посчитали полезным:

b0r3d0m пишет:
Какое назначение -- не знаю. Данная инструкция не выполняется, я писал об этом в начале.

Узнайте.

Эта инструкция выполняется. Или не выполняется, если забить её кодами <0CCh,090h>.
Вот отсюда и разница в результате.

| Сообщение посчитали полезным:

dosprog пишет:
Узнайте.
Почему Вы так в этом уверены? Просто если поставить на ней ordinary breakpoint при помощи F2 в OllyDbg, то на этом бряке выполнение приложения никогда не остановится.

| Сообщение посчитали полезным:

На CC в ольке бряки по дефолту. Проверка целостности кода?

| Сообщение посчитали полезным:

Archer пишет:
На CC в ольке бряки по дефолту. Проверка целостности кода?
)) Туплю.


b0r3d0m,
1) Если в нетронутом коде на <TEST AL,AL> поставить hardware breakpoint, срабатывает ли на ней останов?
2) После подстановки int3 на ней отладчик останавливается или нет?
3) int3 забиваете в файле или в отладчике в памяти?



| Сообщение посчитали полезным:

Archer пишет:
Проверка целостности кода?
А как эту проверку можно осуществить, не подскажете? Запросы в поисковике выдают ссылки на различные статьи с формулами, но, я думаю, это можно как-то сделать программно, верно?

dosprog пишет:
1) Если в нетронутом коде на <TEST AL,AL> поставить hardware breakpoint, срабатывает ли на ней останов?
Нет, хотя, честно говоря, впервые ими пользуюсь. Может быть, ошибся где-то? Right click -> Breakpoint -> Hardware, on execution. Строчка не выделилась никаким цветом, как в случае с ordinary breakpoint, однако в меню появился вариант "Remove hardware breakpoint".

dosprog пишет:
2) После подстановки int3 на ней отладчик останавливается или нет?
Нет.

dosprog пишет:
3) int3 забиваете в файле или в отладчике в памяти?
В отладчике.

| Сообщение посчитали полезным:

Мало что понял, но попробуйте Hardware, on access на 001DAE99. Может и выловите контроль целостности.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным: b0r3d0m

neomant пишет:
Может и выловите контроль целостности
Может, я чего-то не понимаю, но как установка hardware breakpoint может помочь выявить контроль целостности? Скиньте ссылку на какую-нибудь статью на эту тему, пожалуйста.

| Сообщение посчитали полезным:

b0r3d0m пишет:
Скиньте ссылку на какую-нибудь статью на эту тему, пожалуйста.

Да что там статья..
Сделайте, как говорит neomant, - если это оно, всё увидите.

А вообще начинать надо не с кряков, а с программирования и отладки. Иначе никак.



| Сообщение посчитали полезным:

dosprog пишет:
Сделайте, как говорит neomant, - если это оно, всё увидите.

Я же уже пробовал и написал об этом:

Нет, хотя, честно говоря, впервые ими пользуюсь. Может быть, ошибся где-то? Right click -> Breakpoint -> Hardware, on execution. Строчка не выделилась никаким цветом, как в случае с ordinary breakpoint, однако в меню появился вариант "Remove hardware breakpoint".

| Сообщение посчитали полезным:

b0r3d0m пишет:
Я же уже пробовал и написал об этом:

Я писал о Hardware BP on execution, а neomant писал о Hardware BP on access.

А вообще --> вот <-- тема об использовании OllyDbg.



| Сообщение посчитали полезным: b0r3d0m

dosprog пишет:
Я писал о Hardware BP on execution, а neomant писал о Hardware BP on access.
Всё, теперь понял, спасибо за объяснение.

Да, в случае "Hardware BP on access" бряк сработал и выдал сообщение об ошибке со следующим текстом -- "Don't know how to bypass command at address XXXXXXXX. Try to change EIP or pass exception to program". Что это может означать?

| Сообщение посчитали полезным:

b0r3d0m
Это может означать, что отладчик не знает куда ему идти дальше.Просит изменить eip или пропустить исключение. Поэтому можно нажать ОК, а затем Shift+F9, или пропатчить ольку от этой месаги, как и делают многие.
Если файл не секретный глянуть можно как-то? А то насоветовать можно много, но лучше просто глянуть на этот чудо-кодес...

| Сообщение посчитали полезным: b0r3d0m

Прошу прощения, насчёт срабатывания hardware breakpoint'а я ошибся -- на самом деле, он срабатывает несколькими инструкциями ранее, на "???", помеченных как "Unknown commands" в OllyDbg (о них я уже писал ранее).

Djeck пишет:
или пропатчить ольку от этой месаги, как и делают многие.
А как это сделать, не подскажете?

Djeck пишет:
Если файл не секретный глянуть можно как-то?
Я бы его и выложил, но для его корректной работы требуется довольно тяжеловесное окружение в несколько Гб. К тому же, тогда Вы можете решить, что я хочу, чтобы Вы решили данную задачу за меня вместо желания учиться.

| Сообщение посчитали полезным:

А какого хрена будет выполняться, если в some_proc идет прыжок на адрес ПОСЛЕ TEST AL,AL и нет RET

| Сообщение посчитали полезным:

DeGlucker пишет:
А какого хрена будет выполняться, если в some_proc идет прыжок на адрес ПОСЛЕ TEST AL,AL и нет RET
Так этому-то я и не удивляюсь. Я удивляюсь тому, что установка бряка на выполнении инструкции TEST AL, AL даёт другие результаты.

| Сообщение посчитали полезным:

DeGlucker пишет:
А какого хрена будет выполняться, если в some_proc идет прыжок на адрес ПОСЛЕ TEST AL,AL и нет RET
Соответственно на стеке будет лежать адрес инструкции TEST AL, AL

| Сообщение посчитали полезным:

в мессаге от DeGlucker есть смысл привет всем гадалкам топика b0r3d0m сходи к экстрасенсу, быстрее результат будет

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: _FUCKER_, unknownproject