не срабатывает on memory access breakpoint в ollydbg

Сейчас на форуме: vsv1, Alf (+4 невидимых)

Посл.ответ	Сообщение
vlad2010 Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 25 июня 2015 13:47 · Личное сообщение · #1 Добрый день коллеги! Изучаю уроки по OllyDbg. Разбираю 15 ый урок, в нем имеется упакованый crackme Sambo. Соответственно для начала собcтвенно анализа надо дождаться момента окончания работы распаковщика. Для этого я устанавливаю breakpoint на участок памяти, а именно на начало секции .text code. Выбираю пункт "Set memory breakpoint on access" Но не срабатывает on memory access breakpoint в ollydbg Не может ли дело быть в том что я сижу в OllyDBg из под виртуальной машины Parallels? А если дело не в виртуалке то в чем может быть дело? И кстати как убедиться, что точка останова остановилась? Визуально красной отметки не появлется.

ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 25 июня 2015 17:03 · Личное сообщение · #2 vlad2010 пишет: Для этого я устанавливаю breakpoint на участок памяти, а именно на начало секции .text code. Во-первых, Memory access breakpoint (точку останова по чтению памяти) можно поставить на целую секцию сразу в карте памяти процесса (Alt+M) и клавиша F2. Во-вторых, есть две разновидности точек останова (по памяти в т.ч.) - программная и аппаратная. В Вашем случае и та и та не срабатывает??
vlad2010 Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 26 июня 2015 13:52 · Личное сообщение · #3 Выяснил что виртуальное окружение роли не играет. Без него такая же ситуация. Значит я что то делаю не так . Попробовал hardware breakpoints, их на адрес начала .text code можно поставить только breakpoint on execution. On access не дает ставить. Эта точка срабатывает. По идее в этот момент код уже должен быть распакован. Но честно говоря он не похож на код который анализируется в уроке, и вообще не похож на обычный код. При установке "Set memory breakpoint on access" на секцию в окне memory map точка останова не появляется в breakpoints и по прежнему не срабатывает. Причем я заметил там есть две возможности Можно устанавливать Set break-on-access F2 , или в том же меню ( по Right click ) "Set memory breakpoint on access". Между ними есть какая то разница. В уроке используется неработающий "Set memory breakpoint on access" Если поставить Set break-on-access F2 то остановка происходит. Но она происходит видимо в момент распаковки, т.к при распаковке собственно происхожит обращение к памяти для записи распакованного и толку от этого мало. Хотелось бы застать момент окончания распаковки.
vlad2010 Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 27 июня 2015 13:15 · Личное сообщение · #4 Кажется я разобрался. Вообщем точка останова по F2 срабатывает. Распакованный код находится на в начале секции .text code и это меня и сбило с толку.

Для печати