Приветствую.

Необходимо узнать, откуда вызывается интересующая меня процедура. Установка бряка на первую инструкцию данной процедуры срабатывает, однако OllyDbg показывает пустой Call Stack. В этой теме мне уже отвечали по поводу возможной причины возникновения подобных ситуаций (приложение защищено VM Protect), однако никаких return'ов на стеке я не обнаружил (по крайней мере, неподалёку от ESP). Не исключаю, что не так что-то понял. Как именно определить "свдиг" ESP по return'ам на стеке? Можете привести пример, пожалуйста?

Ладно, предположим, что проблема вовсе не в "сдвиге" ESP. Возможно, что данная процедура является стартовой для какого-то background thread'а (звучит логично, т.к. приложение многопоточное, и данная процедура вызывается на каждую операцию логгирования в приложении), однако поиск ссылок (Ctrl-R) и устанока бряков на каждой из них не дали срабатывания.

Подскажите, в чём ещё может быть дело? Или, вероятнее всего, причина всё же в "сдвиге" ESP? Если так, то не могли бы Вы, пожалуйста, дать мне какую-то дополнительную информацию по этому поводу или кинуть ссылку, где об этом можно почитать?

Заранее благодарю за возможные ответы.

| Сообщение посчитали полезным:

Так приложение защищено вмпротом или нет?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Так приложение защищено вмпротом или нет?

Защищено, если верить выводу DiE 0.9.0.

| Сообщение посчитали полезным:

Тогда стоит расслабиться и забыть про call stack.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Тогда стоит расслабиться и забыть про call stack.

И как мне тогда быть, если надо узнать, откуда вызывается процедура? Снимать VM Protect или можно как-то ещё?

| Сообщение посчитали полезным:

можно еще
поменять вопрос "откуда вызывается процедура? " на какой-нить другой

| Сообщение посчитали полезным:

Если есть подозрение на процедуру потока, почему не попробовать бряк на CreateThread?

| Сообщение посчитали полезным:

ant_man пишет:
Если есть подозрение на процедуру потока, почему не попробовать бряк на CreateThread?

Попробовать можно, но, думаю, там пул потоков или, по крайней мере, глобальная очередь сообщений, которая содержит все записи, которые должны попасть в лог приложения.

| Сообщение посчитали полезным:

b0r3d0m пишет:
Необходимо узнать, откуда вызывается интересующая меня процедура
// Поставить рет в начале и на него бряк? =\

| Сообщение посчитали полезным:

vovanre пишет:
// Поставить рет в начале и на него бряк? =\

Действительно, об этом-то я и не подумал. Попробую, спасибо.

| Сообщение посчитали полезным:

а в приложениях защищённых vm protectom даже процедуры видны? не знал...

| Сообщение посчитали полезным:

reversecode пишет:
а в приложениях защищённых vm protectom даже процедуры видны? не знал...

По крайней мере, в моём случае да. Может, у VM Protect'а можно задавать опции для этого? Не смотрел, честно говоря.

| Сообщение посчитали полезным:

Вм протект не даст установить софтварный/хардварный бряк на апи без предварительной лоботомии, если что.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
Вм протект не даст установить софтварный/хардварный бряк на апи без предварительной лоботомии, если что.

В смысле, на сами функции в соответствующих .dll-файлах или на их вызовы в коде приложения?

В любом случае, что надо сделать, чтобы это работало?

| Сообщение посчитали полезным:

unknownproject пишет:
Вм протект не даст установить софтварный/хардварный бряк на апи без предварительной лоботомии, если что.
Прр, а что бы увидеть кал стак не нужно прерываться?

| Сообщение посчитали полезным: