подскажите пожалуйста, как в скрипте для OllyDbg сделать поиск некоторых слов, но не в секции кода.
Я знаю там есть такая команда
findop addr, #437265617465#
но я не знаю какой адрес будет у секции данных.
Как мне определить адрес секции данных и сделать поиск по нему.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

Не хочу заработать бан, но все таки напишу.
Если никто не знает, то хотя бы ответьте есть ли такая возможность. Или тут специалисты перевелись.
Вроде как я смотрю, тут они есть.
и все таки хоть какой нибудь ответ хотелось бы получить (по существу вопроса).

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH
Команда поиска в ОллиСкрипт всё равно кривая, реализуй поиск самостоятельно - тупым сравнением.

| Сообщение посчитали полезным:

Вот как я сделал поиск в следующей секции после секии кода:

var ADDR
GMI eip, CODESIZE
mov ADDR,$RESULT
ADD ADDR,401000
log $RESULT
log ADDR
find ADDR,#5E854D54D1E3A581#
log $RESULT


| Сообщение посчитали полезным:

Ara
Спасибо за ответ, тут я увидел ошибку у себя. надо использовать find а не findop тогда он с адреса 401000 ищет и в секции данных. По крайней мере у меня так.
А вот как можно перевести это смещение в реальное смещение в файле?
Я понимаю. что в некоторых случаях можно вычесть 400С00, а в других другое число, как выяснить какое число надо вычитать?

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

Оч просто
пишем в файл то которое тебе нужно, сохраняем смотрим, от которого получилось отнимаем которое нуно, вот тебе и число))

| Сообщение посчитали полезным:

Gydvin
что то ты непонятно объяснил. Мне известно виртуальное смещение, а по нему надо определить реальное смещение. Как я понимаю, это надо будет как то завязать с секцией где он находиться. Вот я и прошу можно ли как то описать. как определяется реальное смещение в файле при известном виртуальном.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

в файл пишем виртуальное смещение, сохраняем, делаем рестарт, смотрим что там получилось и от того что получилось отнимаем твое виртуальное смещение. Получаем число. Далее от виртуального смещения отнимаем полученное число (аналог твоего 400С00) , вот и получаем то смещение которое нуна писать в файл

| Сообщение посчитали полезным:

вот тебее пример на дельфях, выдрал из одной программы:

Function TPEEditor.RvaToFileOffset(rva:dword):dword;
var
i:integer;
begin
Result:=0;
for i:=0 to Sectionlist.count-1 do
begin
Section:=PSection(SectionList[i]);
if (Rva >= Section.o_rva) and (Rva < (Section.o_rva+Section.o_virtual_size)) then
begin
Result:=Section.o_physical_offs+RVA-Section.o_rva;
exit;
end;
If (Rva < Section.o_rva) then
begin
Result:=Rva;
exit;
end;
end;
end;


Здесь RVA проверяется на принадлежность к каждой секции
и если это так, то вычисляется оффсет...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

А можно заюзать ImageRvaToVa.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Hellspawn
Сенкс
Это то что я просил.

Gydvin
Мне не надо писать в файл. Мне нужно по данным из файла всю необходимую инфу узнать.
Спасибо Hellspawn, подсказал.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным: