 |
eXeL@B —› Вопросы новичков —› Вопрос по Olly |
| . 1 . 2 . 3 . 4 . 5 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 08 января 2007 06:58 · Личное сообщение · #1 Вот сижу изучаю статью "OllyDbg - альтернатива SoftICE" (http://hack4joy.narod.ru/crack/ollydbg/ollydbg.htm) изучил предисловие, перешёл к "Пример 1. Поиск регистрационного кода". Написано: Запускаем Olly, нажимаем [ F3 ] - открыть файл и открываем ccm_3.exe. Теперь жмем [ F9 ] - выполнить. Далее как обычно - вводим имя юзера (PowerUser) и серийник (654321), но на "Регистрировать" не давим. Сразу возникает вопрос: Куда вводить имя юзера и серийник?; при нажатии [ F9 ] - OllyDbg переходит на адрес 77E6D756 и справа в окне Registers почти всё выделено красным цветом.  |
|
|
Создано: 08 января 2007 09:23 · Личное сообщение · #2 хы) походу у тя олли на исключении остановилось или ещё чего) жми шифт+ф9 пока прога не запуститься... ----- [nice coder and reverser] |
|
|
Создано: 08 января 2007 10:16 · Личное сообщение · #3 Hellspawn пишет: жми шифт+ф9 пока прога не запуститься... Ага, или дело в защите от отладчиков - тогда активируй соответствующие плагины 
----- программистом не рождаются - им умирают |
|
|
Создано: 08 января 2007 11:30 · Личное сообщение · #4 не знаю... скачал я этот суперкрякмис  ))) у меня никаких исключений не вылетает. все нормально запускается и ломается.
----- Уважайте других и пишите грамотно. |
|
|
Создано: 09 января 2007 02:02 · Личное сообщение · #5 Executioner пишет: не знаю... скачал я этот суперкрякмис Когда ?! Сейчас там лежит зазипованный файл Install.exe - распаковщик написан на Ваткоме, файл не PE. Что-то мне мало верится, что это крякмис - скорее всего замаскированный троян. Одно обрадовало - олли его пытается отлаживать и сообщает про ntvdm. |
|
|
Создано: 09 января 2007 06:59 · Личное сообщение · #6 Насчёт Shift+F9 - помогло, спасибо, но мне пришлось сначала поставить breakpoint, а после запускать программу (в статье написано наоборот). Возник ещё один вопрос: написано: Читаем имя юзера в буфер, адресуемый регистром EBX, и проверяем, введено ли это имя, или его впомине нет. А вот потом(!) проверяем, чтобы первые 3 символа ключа были не иначе как 'RE-'. Не понятно откуда взялось'RE-'? |
|
|
Создано: 09 января 2007 14:42 · Личное сообщение · #7 lamborghini! Как грицца, файл в студию!
А то у кого-то крякмисы скачиваются, у кого-то трояны... У меня все без проблем... Короче, приаттач сюда файл (он всего 2 Кб весит) ----- программистом не рождаются - им умирают |
|
|
Создано: 10 января 2007 03:25 · Личное сообщение · #8 lamborghini пишет: но мне пришлось сначала поставить breakpoint, а после запускать программу (в статье написано наоборот). ГЫ  А теперь попробуй наоборот и увидишь, что нет разницы
----- программистом не рождаются - им умирают |
|
|
Создано: 10 января 2007 05:10 · Личное сообщение · #9 Всем большое спасибо, вопрос разрешился, проблема была в настройках. После того как я заменил свой ini файл на файл со статьи "Olly Debugger от А до Я", всё начало нормально работать. А вот насчёт 'RE-' так и не понятно.  aff1_10.01.2007_CRACKLAB.rU.tgz - ccm_3.exe
|
|
|
Создано: 10 января 2007 06:13 · Личное сообщение · #10 Gambit пишет: у кого-то трояны Блин, ткнул не в тот файл наверное. Действительно махонький экзешник. И первый раз правильно все скачалось. |
|
|
Создано: 10 января 2007 09:46 · Поправил: [EXE]_cutor · Личное сообщение · #11 lamborghini пишет: А вот насчёт 'RE- видим строку в Олли 00401316 |> 66:813F 5245 CMP WORD PTR DS:[EDI],4552 по адресу WORD PTR DS:[EDI] лежат первые 2 символа введенного от балды серийника. сравнивается с 45 и 52. открываем таблицу символов ASCII, смотрим: 45 - Е 52 - R дальше разбирайся сам. наводку я дал. [EXE]_cutor - RE-9B6E6DB7 ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 10 февраля 2007 23:49 · Личное сообщение · #12 Сюда вопрос решил написать, даже 2. 1. Есть строка на которую ведут несколько JMP'ов, как поставить BP сразу на все чтобы быстро узнать откуда мы сюды прыгнули? 2. Можно ли экспортировать а потом импортировать таблицу BP, которая по alt+b, а то после изменения проги они все стtраются? |
|
|
Создано: 11 февраля 2007 05:52 · Личное сообщение · #13 sliderZ пишет: Есть строка на которую ведут несколько JMP'ов, как поставить BP сразу на все чтобы быстро узнать откуда мы сюды прыгнули? ctrl+R. вылезут все референсы на эту строку. забиваешь их бряками, перезапускаешь прогу. sliderZ пишет: 2. Можно ли экспортировать а потом импортировать таблицу BP, которая по alt+b, а то после изменения проги они все стtраются? нет. ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 11 февраля 2007 07:53 · Личное сообщение · #14 [EXE]_cutor пишет: нет. не правда товарищ) есть плаг... www.tuts4you.com/blogs/download.php?list.9 название тока запямятовал... ----- [nice coder and reverser] |
|
|
Создано: 11 февраля 2007 08:35 · Личное сообщение · #15 Hellspawn пишет: не правда товарищ) есть плаг... имел в виду стандартными функциями Олли за ссыль пасиб. развелось же этих плагов........)))) ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 11 февраля 2007 20:56 · Личное сообщение · #16 Hellspawn пишет: не правда товарищ) есть плаг... [EXE]_cutor пишет: имел в виду стандартными функциями Олли Вдвоем мимотазика Меню->Options->Debugging options (Alt+O)->Security->When loading module-related information: Выставить галочки у Ignore path and extention Ignore timestamp Ignore CRC of code section Save user data outside any module to main .udd file И после патчЕнГа проги в отладчике все установленные бряки останутся на месте От незнания полных возможностей предоставляемых отладчиком начинают появляться плугибаяны… Hellspawn Хм… странно, но мне казалось, что ты PSDK отладчика изъездил вдоль и поперек… ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 11 февраля 2007 22:09 · Поправил: Hellspawn · Личное сообщение · #17 Demon666 хех, ты думаешь это не знаемс? дело в том, что на некоторых прогах, которые запакованы/имеют шифрованные куски кода/выполняется код в динамическо выделяемой памяти, оля сбрасывает бряки... я думал он про это спрашивает
----- [nice coder and reverser] |
|
|
Создано: 11 февраля 2007 23:35 · Личное сообщение · #18 Hellspawn пишет: ты думаешь это не знаемс? Нееед! Писал для sliderZ sliderZ пишет: а то после изменения проги они все стtраются? Просто хз. о чем тут еще можно подумать
Hellspawn Думал, может, чего-нибудь интересного напишешь про PSDK отладчика, может смешные случаи встречались… ну да ладно проехали… ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 12 февраля 2007 02:24 · Личное сообщение · #19 Demon666 пишет: От незнания полных возможностей предоставляемых отладчиком Вот бы кто из знатоков написал гайд по полным возможностям (или хотя бы значению всех опций)...
|
|
|
Создано: 12 февраля 2007 09:27 · Личное сообщение · #20 sliderZ пишет: Можно ли экспортировать а потом импортировать таблицу BP вот это меня смутило))) Demon666 пишет: чего-нибудь интересного напишешь про PSDK да там жуть, в некоторые функи вообще не понятно что передавать...
метод научного тыка рулид) ----- [nice coder and reverser] |
|
|
Создано: 05 марта 2007 10:26 · Личное сообщение · #21 Такой вопрос, есть что-то типа ..... CALL DWORD PTR [XXXXXX] | WriteProcessMemory ..... Ну так вот эта фун-я вносит изменения в секцию кода проги, по идее этот "измененный" код должен выделяться особым цветом, тем который "highlighted text" в настройках, но у меня почему-то выделился только один раз а после перезагрузки проги особым цветом больше не выделяется, пробовал udd удалить не помогло. Он же и в дампе должен новым цветом выделятся по идее, раньше особо внимания не обращал. В чем проблема? |
|
|
Создано: 05 марта 2007 11:11 · Поправил: Bitfry · Личное сообщение · #22 b]sliderZ[/b], если не ошибаюсь, нужно изменить в окне дамка хоть один байт... Вроде можно сделать пустое действие (допустим, 00 заменить на 00). Или сразу в мышином меню Backup > Create Backup. А потом даже сравнить можно. Ты об этом? ----- Всем привет, я вернулся |
|
|
Создано: 06 марта 2007 02:10 · Личное сообщение · #23 Я о том что вроде как любое изменение в памяти процесса должно выделяться особым цветом, так же как и изменение регистра. Но что-то не всегда работает. Если руками вбить изменение по такому-то адресу - выделится, а если через writeprocessmemory или mov dword ptr [] то не всегда выделяется. |
|
|
Создано: 06 марта 2007 03:46 · Личное сообщение · #24 sliderZ пишет: Но что-то не всегда работает. Если руками вбить изменение по такому-то адресу - выделится, а если через writeprocessmemory или mov dword ptr [] то не всегда выделяется. Так я и говорю, выделяется только если до этого изменить в окне дамка хоть один байт... Вроде можно сделать пустое действие (допустим, 00 заменить на 00). Или сразу в мышином меню Backup > Create Backup ----- Всем привет, я вернулся |
|
|
Создано: 18 марта 2007 15:30 · Личное сообщение · #25 Чета не врубаюсь. Зачем нужны скрипты в Ольке? |
|
|
Создано: 18 марта 2007 16:19 · Личное сообщение · #26 чтоб выполнять за тебя всю нудную работу |
|
|
Создано: 18 марта 2007 16:58 · Личное сообщение · #27 vitalya2903 пишет: Зачем нужны скрипты в Ольке? да так, ребята х*/ней маялись, наваяли. типа модно. а так в принципе низачем..........
хоть почитал бы что нить прежде чем спрашивать. ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 08 апреля 2007 17:33 · Личное сообщение · #28 [EXE]_cutor пишет: да так, ребята х*/ней маялись, наваяли. типа модно 
Пользуясь случаем хотел бы спросить вот о чем - Какую бы прогу не загружал оля выплевывает вот такое сообщение: Module 'wbhelp' has entry point outside the code (as specified in the PE header). May be this file is self-extracting or self-modifying. Please keep it in mind when setting breakpoints! попытался перевести: Модуль 'wbhelp' имеет пункт входа вне кода (как определено в заголовке PE). Может быть этот файл, самоизвлекает или самоизменяет. Пожалуйста держите это в памяти, устанавливая контрольные точки! что посаветуете? |
|
|
Создано: 08 апреля 2007 18:57 · Личное сообщение · #29 прога пакована, вот оля и ругается. у меня тоже такое постоянно "выплевывает". Headerx пишет: что посаветуете? ps выкинуть нах такой переводчик. ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 11 апреля 2007 09:29 · Личное сообщение · #30 Я только недавно начал заниматься крэкингом. Пока дочитываю книгу по ассемблеру, крякнул 2 крэкмиса, и на этом пока мой крэкинг пока остановился. Проштудировал несколько статей (больше не нашел на сайте) по тому как работать в Оле, но вот загвоздка выходит: загружаю файл в олю, нажимаю F9 - прога запускается, после чего надо поставить брэк на вывод сообщения (насколько я понял это надо идти по пути отладчик_параметры), пробую разные варианты: bpx MessageBoxA, bp GetDriveTypeA, bpx GetDlgItemTextA. Как понять в какой проге какой вариант? И еще: после того, как я ввожу MessageBoxA, Оля выдает мне вот это - "You have changed the command line arguments. If you want that new arguments take effect now, you must restart debugged program ". И после того как я ввожу данные в окне регистрации я так и остаюсь на месте, хотя по идее должен был попасть на место вывода сообщения. Помогите новичку. Можно писать на аську (411945882), на мыло (jay80@rambler.ru) или в личку. Заранее спасибо |
| . 1 . 2 . 3 . 4 . 5 . >> |
|
eXeL@B —› Вопросы новичков —› Вопрос по Olly |
Для печати