Сейчас на форуме: asfa, vsv1 (+5 невидимых)

 eXeL@B —› Вопросы новичков —› Immunity dbg крешит notepad.exe
Посл.ответ Сообщение

Ранг: 5.6 (гость)
Активность: 0.010
Статус: Участник

 Создано: 31 декабря 2015 18:25
· Личное сообщение · #1

Падает блокнот если вызвать окно Open File.
Если запусить блокнот без этого скрипта падения не наблюдается.
Со скриптом:
Получаю SINGLE_STEP Event на CloseHandle. Пропускаю его (f9) и дальше получаю ACCESS VIOLATION executing at 00000000.
На стеке ничего явного не вижу чтобы зацепится для поиска причины.

Code:
  1. import time
  2. import immlib
  3. import glob
  4.  
  5. g_dbg = None
  6.          
  7. class TestLogBP(immlib.LogBpHook):
  8.          def __init__(self):
  9.                  global g_dbg
  10.                  immlib.LogBpHook.__init__(self)   
  11.                  self.imm = g_dbg 
  12.                  
  13.          def run(self,regs):
  14.                  function_name = regs['EIP']
  15.                  return_addr = self.imm.readLong( regs['ESP'] )
  16.                  self.imm.log("Hook hit for {0}, return to {1:X}".format( function_name, return_addr) )
  17.                         
  18. def main(args):
  19.          global g_dbg
  20.          g_dbg = immlib.Debugger()
  21.          imm = g_dbg
  22.          
  23.          # kernel32        = g_dbg.getModule('kernel32.dll')       
  24.          # kernel32Base = kernel32.getBase()
  25.          OpenProcess = imm.getAddress("kernel32.OpenProcess");
  26.          CloseHandle = imm.getAddress("kernel32.CloseHandle");
  27.          ExitProcess = imm.getAddress("kernel32.ExitProcess");
  28.          ReadProcessMemory = imm.getAddress("kernel32.ReadProcessMemory");
  29.          
  30.          hooker = TestLogBP()
  31.          
  32.          imm.addKnowledge("%08x" % CloseHandle,     "CloseHandle")
  33.          imm.addKnowledge("%08x" % OpenProcess,     "OpenProcess")
  34.          imm.addKnowledge("%08x" % ExitProcess,     "ExitProcess")
  35.          imm.addKnowledge("%08x" % ReadProcessMemory,     "ReadProcessMemory")
  36.          
  37.          imm.log( '%x' % hooker.add('CloseHandle', CloseHandle) )
  38.          imm.log( '%x' % hooker.add('OpenProcess', OpenProcess) )
  39.          imm.log( '%x' % hooker.add('ExitProcess', ExitProcess) )
  40.          imm.log( '%x' % hooker.add('ReadProcessMemory', ReadProcessMemory) )


Добавлено спустя 4 минуты
Если не хукать CloseHandle то открывается окно Open File. Наверно дело в seh.




Ранг: 56.2 (постоянный), 14thx
Активность: 0.120
Статус: Участник

 Создано: 01 января 2016 00:58
· Личное сообщение · #2

Вот блокнот без Open File.Выковыряно Restorator'ом.

5f2f_01.01.2016_EXELAB.rU.tgz - notepad.7z



Ранг: 5.6 (гость)
Активность: 0.010
Статус: Участник

 Создано: 02 января 2016 00:16
· Личное сообщение · #3

script_kidis Спасибо, но зачем?
Вопрос заключается в том почему он падает?




Ранг: 56.2 (постоянный), 14thx
Активность: 0.120
Статус: Участник

 Создано: 02 января 2016 00:34
· Личное сообщение · #4

ааа прочёл не правильно,Падает блокнот если вырезать окно Open File. Вместо Падает блокнот если вызвать окно Open File. Сорри можешь стерать мои посты)


 eXeL@B —› Вопросы новичков —› Immunity dbg крешит notepad.exe
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати