Отладчики не ищут межмодульные вызовы.

Сейчас на форуме: Lohmaty, tyns777 (+7 невидимых)

Посл.ответ	Сообщение
Romanzo Ранг: 1.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 19 ноября 2017 14:53 · Личное сообщение · #1 В деле исследователя программ я еще очень зеленый новичок. Столкнулся с проблемой следующего характера: Отладчик стал показывать адреса не как раньше например: 004235E1, а теперь 776D0EF0. При этом, при поиске межмодульных вызовов не выводятся все функции, например в одном exe есть GetDriveTypeA, а теперь при поиске этой функции нет. Такая ситуация наблюдается в Ollydbg, x32dbg, SND. Просто мне не понятно почему раньше все нормально открывалось, а сейчас непонятно что.

TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 19 ноября 2017 15:11 · Поправил: TryAga1n · Личное сообщение · #2 Ты копаешь не в секции кода твоей программы, а в системной либе
Romanzo Ранг: 1.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 19 ноября 2017 15:16 · Личное сообщение · #3 TryAga1n пишет: Ты копаешь не в секции кода твоей программы, а в системной либе Просто раньше открывал exe через например x32dbg, адреса были типа 004235E1, сейчас они другие. Мне не понятно почему так стало. И сейчас пробую сохранять правленый exe, сохраняется совсем не похожий на оригинальный exe, размер в 2 раза больше.
dosprog Ранг: 431.7 (мудрец), 390thx Активность: 0.73↘0.32 Статус: Участник	Создано: 19 ноября 2017 15:27 · Личное сообщение · #4 OllyDbg->DebuggingOptions->Events->MakeFirstPauseAt = "SystemBreakPoint". Check this, must be = "EntryPointOfMainModule"
Romanzo Ранг: 1.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 19 ноября 2017 16:05 · Личное сообщение · #5 dosprog пишет: Check this, must be = "EntryPointOfMainModule" Нет, все так же, не помогло. Может где то какие то файлы временные создаются и теперь какой то конфликт.
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 19 ноября 2017 17:13 · Личное сообщение · #6 Romanzo пишет: Отладчик стал показывать адреса не как раньше например: 004235E1, а теперь 776D0EF0 Раз новичок, самый простой способ решения, удалить файл настроек отладчика и плагинов\хайдеров если они есть, профит. В будущем не трогать настройки если не уверенны, что делает та или иная опция.
Adler Ранг: 55.9 (постоянный), 29thx Активность: 0.12↗0.22 Статус: Участник	Создано: 19 ноября 2017 22:41 · Личное сообщение · #7 shellstorm, могу конечно ошибаться, но x32dbg "с коробки" при запуске отладки стопорится где то в ntdll, а не в EP отлаживаемой программы.
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 20 ноября 2017 00:17 · Личное сообщение · #8 Adler пишет: shellstorm, могу конечно ошибаться, но x32dbg "с коробки" при запуске отладки стопорится где то в ntdll, а не в EP отлаживаемой программы. Да, по умолчанию останавливается на ntdll и это в принципе видно по коду, и адресам. У меня и в olly настроено так, чтобы останавливалось на ntdll с tls, все же неплохо перед тем, как что то грузить, видеть, что грузится. В опциях некоторых хайдеров есть остановка на ntdll, поэтому и посоветовать откатиться на заводские настройки, раз возникают проблемы.
Romanzo Ранг: 1.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 20 ноября 2017 10:26 · Личное сообщение · #9 shellstorm пишет: посоветовать откатиться на заводские настройки, раз возникают проблемы. Ладно бы проблема была в только в Olly то да, сброс поможет. Но во всех отладчиках такая ситуация. Мне кажется, где то в системе какой то сбой.
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 20 ноября 2017 11:20 · Личное сообщение · #10 А мне кажется пора уже выложить скрины
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 20 ноября 2017 11:43 · Поправил: VOLKOFF · Личное сообщение · #11 TryAga1n пишет: А мне кажется пора уже выложить скрины "Уже пора" было ~10 постов назад Покажите уже ваши чудеса в решете. P.S. Полноразмерные скрины окна отладчика. В идеале еще и поциента укажите (мало ли).
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 20 ноября 2017 19:20 · Личное сообщение · #12 Romanzo > Отладчик стал показывать адреса не как раньше например: 004235E1, а теперь 776D0EF0. > Но во всех отладчиках такая ситуация. Мне кажется, где то в системе какой то сбой. Тоесть вместо обычного образа, каким то образом у вас появились адреса из верхней памяти - это невозможно. Тоесть по вашему загрузчик начал грузить модуля в топ мем, нет он это не может. Вообще откуда взялись эти адреса и с чем их связать, где карта памяти ?? И снова нужно доставать хрустальный шар, будем гадать. Тоесть карту памяти в отладчике вы посмотреть не можите по какой то причине, по вашему это не нужно. Тогда по какой то причине где то вы раньше видели один адрес, а теперь видите совершенно иной. Тогда получается вы не туда смотрите. А те адреса, которые вы видите зависят от фазы луны. ----- vx
Romanzo Ранг: 1.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 20 ноября 2017 22:08 · Личное сообщение · #13 Вот как было и как теперь. exe один тот же --> Link <--
mysterio Ранг: 307.9 (мудрец), 196thx Активность: 0.18↘0 Статус: Участник	Создано: 20 ноября 2017 22:36 · Поправил: mysterio · Личное сообщение · #14 -del- ----- Don_t hate the cracker - hate the code.
Adler Ранг: 55.9 (постоянный), 29thx Активность: 0.12↗0.22 Статус: Участник	Создано: 20 ноября 2017 23:18 · Поправил: Adler · Личное сообщение · #15 ЛОЛ --> Link <-- Выделил красным куда смотреть... Для счастья надо убрать галку тут \| Сообщение посчитали полезным: Romanzo
Romanzo Ранг: 1.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 20 ноября 2017 23:53 · Личное сообщение · #16 Adler пишет: Для счастья надо убрать галку тут Да, счастье есть. Спасибо. Какая же глупая была проблема....
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 21 ноября 2017 00:50 · Личное сообщение · #17 На этом можно закрыть, видимо.

Для печати