1. Есть такой код:


00998B8A FF52 14 CALL DWORD PTR [EDX+14]
00998B8D 8D4D 00 LEA ECX,DWORD PTR [EBP]
00998B90 50 PUSH EAX
00998B91 FF15 1D34A800 CALL DWORD PTR [A81D34]
00998B97 8D45 6B LEA EAX,DWORD PTR [EBP+6B]


меняем его на:


00998B8A FF52 14 CALL DWORD PTR [EDX+14]
00998B8D E9 0B830E00 JMP prog.00A80E9D
00998B92 90 NOP
00998B93 90 NOP
00998B94 90 NOP
00998B95 90 NOP
00998B96 90 NOP
00998B97 8D45 6B LEA EAX,DWORD PTR [EBP+6B]


Далее сохраняем через olly. Только в файле почему-то последовательность измененных байтов получается не "E9 0B 83 0E 00 90 90 90 90 90", а "E9 0B 83 0E 00 90 90 90 FA 9F". Причем в olly после перезагрузки с сохраненными изменениями в окне анализа пишутся именно 5 Nop, хотя в файле их только 3 + FA 9F на конце не понятно откуда взявшиеся.
Что это за фигня такая?

2. Положим я нашел в дампе нужный мне байт, как быстро узнать его адресс, считать заепался. Может дамп как-то можно "отцентрировать" по выделенному байту?

| Сообщение посчитали полезным:

sliderZ пишет:
1) хотя в файле их только 3 + FA 9F на конце не понятно откуда взявшиеся.
Олли помнит патчи и еще многое другое. Посмотри внимательно, что у тебя в окне Patch и почисти udd-файлы, если в патче все нормально или совсем непонятно. Еще, хорошая метода - начать с нуля(но udd все-равно надо чистить).
2) Про подсчет оффсетов написано и в статьях про PE-формат или во многих других - это азбука.
Для олли есть плагин advancedolly - он это делает. В hiew можешь смотреть в HEX - адреса в файле, в CODE - адреса в отладчике.

| Сообщение посчитали полезным:

sliderZ пишет:
Что это за фигня такая? - похоже на релоки

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

sliderZ пишет:
Может дамп как-то можно "отцентрировать" по выделенному байту?
Если я правильно понял вопрос, то в Olly в окне кода, в столбце аddress кликни два раза мышью по нужной строке, тогда оля будет считать смещения относительно нужного тебе байта вот так:
$ ==>
$+2
$+7
$+C
$+E
$+13
$+14

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Да нет, я имел ввиду быстро узнать адрес выделенного байта именно в дампе, но уже нашел способ, нужно просто попробовать поменять этот байт и тогда выскочит окно edit data в котором наверху будет адрес байта, жалко только его оттуда ctrl+c нельзя...

| Сообщение посчитали полезным:

DrFits пишет:
похоже на релоки
Вряд ли. Адрес там 4 байта, а скорректировано 2 старших. Я еще готов поверить, что это отрицательное, но младшие байт удивительно сохранились.

Хотя строчка :
00998B91 FF15 1D34A800 CALL DWORD PTR [A81D34]
наводит на мысль, что sliderZ неаккуратно данные набивает
Мог и в байтах ошибиться.

| Сообщение посчитали полезным:

Вот еще вопрос, можно ли в Olly цветов подбавить, а то выбор какой-то маленький?

| Сообщение посчитали полезным:

sliderZ пишет:
можно ли в Olly цветов подбавить
Можно Реверсишь и инжектируешь свои функции.

| Сообщение посчитали полезным:

tundra37tundra37 пишет:
Можно Реверсишь и инжектируешь свои функции

Так я не понял, чтобы добавить новые цвета в options->appearance нужно сам olly реверсить и чего инжектить?

Еще вопрос. Можно ли что-нибудь полезное узнать из названия функции вида
"Main.?GetObject@Object@Prog@@QBEIXZ"? Эти QBEIXZ что значат?

| Сообщение посчитали полезным:

sliderZ пишет:
нужно сам olly реверсить
Да.

sliderZ пишет:
"Main.?GetObject@Object@Prog@@QBEIXZ"? Эти QBEIXZ что значат?
Количество и тип параметров функции, если не ошибаюсь, используется только в СИшных прогах.

| Сообщение посчитали полезным:

Если позволите, есть и уменя вопросик насчет Олли: допустим я хочу найти адрес к.-л. текстовой строки в проге, тискаю ПКМ->Search for->All referenced text strings а она мне показывает окошко со всякой фигней, как там разобраться, или я чё-то не то жму?

| Сообщение посчитали полезным:

Svetlyi пишет:
или я чё-то не то жму?
Жмёшь так. Пр0ст0 там ет0й херни д0фига.
П0пр0буй Win32Dasm.Я частеньк0 для п0иска стр0к ег0 исп0льзую.

| Сообщение посчитали полезным:

sniperZ пишет:
П0пр0буй Win32Dasm.Я частеньк0 для п0иска стр0к ег0 исп0льзую
А я больше люблю Иду для этого дела... И плагин Strings к ней.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

sliderZ пишет:
Далее сохраняем через olly
лучше так не делать...
sliderZ пишет:
Положим я нашел в дампе нужный мне байт, как быстро узнать его адресс, считать заепался
бери Lord Pe, загружай в него файло, нажимай FLC и вбивай что нужно, после правь байты по выданному смещению в хекс редакторе. если много байт и необходим сейф, то лучше для загрузки в лорда используй копию файла проги...

[b]P.S. вместо 5 nop используй 0дын JMP

| Сообщение посчитали полезным:

sliderZ пишет:
Вот еще вопрос, можно ли в Olly цветов подбавить, а то выбор какой-то маленький?
а ты ее для красоты скачал?))

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

ExecutionerExecutioner пишет:
а ты ее для красоты скачал?))
Когда часами копаешься в коде лучше чтобы цвета были оптимальными для глаз, быстро устают.

| Сообщение посчитали полезным:

sliderZ пишет:
Когда часами копаешься в коде лучше чтобы цвета были оптимальными для глаз, быстро устают.

тех цветов что есть, в принципе вполне достаточно!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
тех цветов что есть, в принципе вполне достаточно!
Лучше всего crismas tree, black on white ИМХО

| Сообщение посчитали полезным:

Hellspawn пишет:
тех цветов что есть, в принципе вполне достаточно!
Есть проты у которых, есть специфические байтики и при просмотре кода с выделением их в индивидуальный цвет легко видится и находится то, что нужно.
Для примера возьмем банальный ASProtect, при банальном проходе до OEP в статьях предлагают считать баранов (Shift+F9), когда есть простой вариант (не во всех версиях естественно).
При нажатии на Shift+F9 смотреть на код и искать в-первых десяти строчках листинга беглым взглядом PUSH 0C (после него если еще раз нажать Shift+F9, прога запуститься) в ярко заметном цвете, то вся процедура займет несколько секунд.
Также при поиске спертых байтов, если выделять префиксы в нужный цвет, то тоже легко находиться и спертые байты.
Конечно не с помощью стандартного функционала отладчика.
А насчет цвета я думаю, когда автор начинал делать отладчик, он учитывал специфику старых мониторов, которые могли некорректно отображать все цвета и заюзал стандартную палитру. Потом, скорее всего ему было влом все переделывать.

sliderZ пишет:
можно ли в Olly цветов подбавить
Можно и несильно напрягаясь без всяких “инжЭктов” если конечно понимаешь в полной мере что такое GDI/GDI+
Это все же лучше чем по ночам считать баранов в сером цвете – Аминь…

P. S.
Скрипты не хляють =)))

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

хех, никогда не испытывал проблем с нехваткой цветов как одну палитру настроил так на ней сижу и радуюсь... чёрный фон решаед...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Demon666 пишет:
Можно и несильно напрягаясь без всяких “инжЭктов” если конечно понимаешь в полной мере что такое GDI/GDI+
хотел бы я посмотреть, как ты это сделаешь несильно напрягаясь
но попробуй)))

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

sniperZ пишет:
Жмёшь так. Пр0ст0 там ет0й херни д0фига.
А в етом окошке мона искать определенную строку или тока просматривая все, искать нужную?
sniperZ пишет:
П0пр0буй Win32Dasm.
Я то тож его юзаю, но хотельсь бы искать сразу не отходя от кассы

| Сообщение посчитали полезным:

Svetlyi пишет:
А в етом окошке мона искать определенную строку или тока просматривая все, искать нужную?

конечно можно) правой кнопкой в нём нажми там будет "Search for text"

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn, примного благодарен!

| Сообщение посчитали полезным:

Написал небольшой loader который загружает Olly с новым набором 20 цветов. Если кому еще охота поиграться с цветами берите.

Сначала выбрать цвета потом save, потом запускать с параметром "-s".
p.s 1-ый и 16-ый цвета лучше оставить дефолтными черным и белым соответсвенно а то могут быть небольшие глюки.

| Сообщение посчитали полезным:

attach

2dd2_09.01.2007_CRACKLAB.rU.tgz - OllyColored.exe

| Сообщение посчитали полезным: