Ollydbg unable open file.

Сейчас на форуме: tyns777, cppasm, dutyfree, asfa (+7 невидимых)

Посл.ответ	Сообщение
roman921 Ранг: 11.7 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 29 декабря 2016 19:48 · Личное сообщение · #1 Я пытаюсь загрузить эту прогу https://yadi.sk/d/hNVGP8Rg35kWsh в ollydbg, но отладчик не хочет его открывать. Выдает unable open to file. ИДА тоже нормально не дизасмит его. Подскажите как, я полагаю PE заголовок надо исправить, чтобы отладчик открывал его. Определил что эта прога написана на net c#, пробовал net reflector и dotpeek, но эти проги тоже не вскрывают его нормально.

script_kidis Ранг: 56.2 (постоянный), 14thx Активность: 0.12↘0 Статус: Участник	Создано: 29 декабря 2016 20:17 · Личное сообщение · #2 покриптован или обфусцирован 100%
dosprog Ранг: 431.7 (мудрец), 390thx Активность: 0.73↘0.32 Статус: Участник	Создано: 29 декабря 2016 20:36 · Личное сообщение · #3 А что там в OllyDbg разглядывать, вообще? Это говнище для .NET-интерпретатора, обфусцировано Confuser'ом
cryptX Ранг: 42.9 (посетитель), 13thx Активность: 0.04↘0 Статус: Участник	Создано: 29 декабря 2016 20:38 · Поправил: cryptX · Личное сообщение · #4 roman921 пишет: но эти проги тоже не вскрывают его нормально. Пробуй ILSpector или DnSpy. И поконкретнее какая ошибка вылетает ? Пробуй деобфусцировать de4dot-ом.
roman921 Ранг: 11.7 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 29 декабря 2016 21:50 · Личное сообщение · #5 cryptX, dotpeek справился. После него и рефлектор и ида его принимают. Исходники рефлектором вытащил. Но кстати олька не хочет после обработки dotpeek разбирать его. cryptX пишет: И поконкретнее какая ошибка вылетает ? Unable start file ошибка. Я знаю обычно это бывает когда заголовок испорчен. Если кто знает инструкцию как править заголовок, чтобы отладчик тоже стал брать файл напишите, плиз. Добавлено спустя 1 минуту dosprog пишет: А что там в OllyDbg разглядывать, вообще? Да по привычке хотел перед messagebox глянуть с чем пасс юзера сравнивает)
cryptX Ранг: 42.9 (посетитель), 13thx Активность: 0.04↘0 Статус: Участник	Создано: 30 декабря 2016 08:23 · Личное сообщение · #6 roman921 .net использует IL байткод, там не "родной" асм код. С Олли ты будешь дебажить сам фреймворк, а не код своей программы. DnSpy тебе в руки если нужно дебажить IL код.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 30 декабря 2016 10:02 · Личное сообщение · #7 Олли пытается что то открыть не стандарт, но ида - это уг оно стоит 6 штук и даже примитивные если есть не стандарт модификации отваливается. Да и есчо не выполняет вообще никакой анализ, в отличие от олли. Это комерц продукт, такой же как и аверы - живёт за счёт рекламы. https://yadi.sk/d/xnuuJioa35gXKN https://yadi.sk/d/IWsdv26035FWkX Вроде 6.6 ломнутая, но я не смотрел этот крэп. ----- vx
roman921 Ранг: 11.7 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 30 декабря 2016 14:47 · Личное сообщение · #8 difexacaw, у меня 6.8 ида с пухон скриптами стоит. cryptX, это понятно. Я ту прогу дебажить в ида не собираюсь, мне просто в учебных целях интересно понять, что надо сделать с PE заголовком, чтобы открылось в олле.
script_kidis Ранг: 56.2 (постоянный), 14thx Активность: 0.12↘0 Статус: Участник	Создано: 30 декабря 2016 21:56 · Личное сообщение · #9 dosprog --> Вот похожий случай отладки net прог под olydbg )) <-- а так чисто теоретически интересно узнать: Данно любая прога net сходная по сюжету и проверкой ключа вида SDWERR+(вычисления по hwid) и часть берущаяся по номеру винды ключ типа: SDWERR-GE4244-GFRE422-RTG317890324983 и у нас есть только win32 debugger softice или ollydbg о ildbg мы не знаем и не слышали и о иде тоже на дворе 2003год к примеру)) при таком раскладе возможность отломать есть или других вариантов отломать небудет пока не появится дебагер под нет платформу? задача теоретическая и любопытно узнать теоритический план действий)
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 30 декабря 2016 22:28 · Личное сообщение · #10 script_kidis net это вроде как виртуальная машина, а раз так для трассировки вм необходимо её разложение на обратные операции - декомпиль. Сама трассировка никакой вообще проблемой не является. А вот декомпилер - да. То же самое касается и вб. Можно трассировать выборку данных, таким образом в самом простом случае разложить байт код на трассу. ----- vx
roman921 Ранг: 11.7 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 01 января 2017 19:30 · Личное сообщение · #11 Ребят, подобный вопрос вот есть ядро винды ntoskrnl.exe, я пробую этот файл в ollydbg открыть и получаю ту же ошибку. Читаю этот тутор про повышение прав https://forum.exploit.in/pda/index.php/t3487.html в винде, хочу поиграть на вин хп. Хотел через отладчик пропатчить функцию SeSinglePrivilegeCheck, могу по идее и через иду внести изменения, но через отладчик было бы удобнее. Но он ту же ошибку выдает unable open file. Как бы это побороть ?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 января 2017 19:36 · Личное сообщение · #12 roman921 Олли запускает процесс - юзермод, а вы пытаетесь запустить нэйтив(ядро) - по дефолту это невозможно. Хотя это возможно загрузить кернел в олли, я так часто раньше делал, но нужно немного пропатчить Олли или выполнить есчо какие то манипуляции, которые я не могу описать - так как не помню. Более того выплнялся мап(отображение) кернел памяти на юзер процесс, таким образом частично можно было мониторить ядро из под юзер отладчика. > SeSinglePrivilegeCheck Если правильно помню это не функция, это константа или переменная. Подробности в сурцах смотрите wrk/w2k. ----- vx

Для печати