Вот сижу изучаю статью "OllyDbg - альтернатива SoftICE" (http://hack4joy.narod.ru/crack/ollydbg/ollydbg.htm)
изучил предисловие, перешёл к "Пример 1. Поиск регистрационного кода".
Написано: Запускаем Olly, нажимаем [ F3 ] - открыть файл и открываем ccm_3.exe.
Теперь жмем [ F9 ] - выполнить. Далее как обычно - вводим имя юзера (PowerUser) и серийник (654321), но на "Регистрировать" не давим.
Сразу возникает вопрос: Куда вводить имя юзера и серийник?; при нажатии [ F9 ] - OllyDbg переходит на адрес 77E6D756 и справа в окне Registers почти всё выделено красным цветом.

| Сообщение посчитали полезным:

Никто ответ на мой вопрос не знает ?

| Сообщение посчитали полезным:

жоржик, открой окно брэкпоинтов ALT+В, и там поудаляй всё

| Сообщение посчитали полезным:

спс всем. неактуально

| Сообщение посчитали полезным:

А вот такой вопрос, не ставится брейкпойнт на GetWindowTextA, именно на её первую инструкцию push 0c. Ollydbg говорит Unable to set breakpoint и пропатчить тоже неудаётся, как будто что-то не даёт менять эту инструкцию...
Не ставится он ни на чём вообще... Что это может быть?
В ida при попытке поставить туда bp он подсвечивается оранжевым цветом, в первый раз с такой сталкиваюсь...

| Сообщение посчитали полезным:

pssssst

По ходу, проверка суммы.. А прога как себя ведет? Если вылетает\ругается- точно оно. Такое тоже не видал, бряки ставились, но прога вылетала. а у тебя- нет..
Скорее всего, антиотладочная фича какая-то, плагины поищи, мож,поможет. Типа Fantom

| Сообщение посчитали полезным:

pssssst
Попробуйте поставить прерывание на GetWindowTextA+константа

| Сообщение посчитали полезным:

Да я тоже на фантом почему-то подумал когда впервый раз это заметил, но та же беда на свежем olly. И это наблюдается на любой проге, даже например на только что откомпиленной, в которой кроме ExitProcess больше ничего нет.
Причём это не только в olly, в ida та же петрушка...

На следующую инструкцию ставится, не даёт именно на push 0c.

Не помогает даже перезагрузка. Что ещё можно попробовать? Что-то ведь мешает, значит должно быть возможно найти это что-то.

Кое что нащупал.
Адрес этой функции у меня 0x77d48000. Попробовал поставить bp на 0x77d88000 - то же самое.
И по адресу 0x77d48000 нельзя ничего записать, хотя удаётся binary edit если редактировать например четыре байта с адреса 0x77d47ffe, так мне удалось прописать int 3 вместо push 0c и он сработал.

Кто сможет пролить свет на этот феномен?

| Сообщение посчитали полезным:

феар, антивирь стоит? винда 32 или 64?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Есть, но вряд ли это они, смысл блокировать по два байта да ещё каким-то странным способом... Я думаю что это чистая случайность, что это попало на GetWindowTextA.
Windows XP SP1 32bit.

| Сообщение посчитали полезным:

pssssst
SoftIcе может стоит?

| Сообщение посчитали полезным:

Нет, SoftIcе нет.

| Сообщение посчитали полезным:

у мя такая же была фигня , но на других функциях(Ольга ни в какую вооще не хотела цеплятся) ,я так понял это ограничение именно из-за адреса который на хитрую область указывает(далекую какую то , то 0х7... , то вообще 0хFF....) .
ЗЫ Полностью так разобраться не смог

| Сообщение посчитали полезным:

В общем дело всёже в фаерволе, а именно аутпосте, а если ещё конкретнее, то в wl_hook.dll. Он внедряется во все процессы и в частности хучит функцию NtProtectVirtualMemory и вроде копается в переданных ей параметрах. До конца я не стал вникать, но вроде это он там находит этот адрес и посылает в вместо NtProtectVirtualMemory, поэтому WriteProcessMemory обламывается. Такое странное поведение потому что он проверяет именно начальный адрес переданный параметром, а если он на два меньше, то пропускает. Такая вот фигня...

| Сообщение посчитали полезным:

Как залогить состояние регистра при прохождении через BP. Пробовал что-то мутить через conditional logged breakpoint shift+f4, но он вроде не для этого. Т.е ставишь BP и когда прога там проходит записывает в лог состояние регистров, наверно уже много раз спрашивали но найти не могу.

| Сообщение посчитали полезным:

sliderZ

Прочитай в хэлпе про инспектор, может, поможет )

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

как поставить бряк на вызов всех экспортируемых дллкой функций? напр, из advapi32
нашел только бряк на все референсы к данной фии, что совсем не то

| Сообщение посчитали полезным:

Вопрос: при трассировке ставлю условие EDX=01DAE701, запускаю трассировку Ctrl+F11 получается Олли останавливается на каждой инструкции пишет Conditional pause:EDX=01DAE701 при этом в регистре совсем другие значения. Пробовал переустановить Олли - результат тот же.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Обьясните как ставить бряки в Оле (на пальцах на примере MessageBoxA)! А то привык Сайс юзать и не как не могу вьехать!

| Сообщение посчитали полезным:

Устанавливаем плагин CmdBar, если не установлен. Пишем в строке командбара bp MessageBoxA и нажимаем Enter.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-mв некоторых случаях срабатывает, а в некоторых нет (хотя в сайсе в этих прогах чётко брякается)

| Сообщение посчитали полезным:

Yokel bp-это простой программный бряк который можно задетектить ставь железные вот например
hr,hw,he
hr - acess
hw- write
he-execute
чтобы отловить окно напеши так he MessageBoxA

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Как я понял оля в отличии от сайса обрабатывает исключения только от отлаживаемого приложения, а у меня это окно выдает dll'ка которая запускается этим exe, поэтому она даже на he MessageBoxA не брякается?

| Сообщение посчитали полезным:

Yokel бряки можно ставить в выбранном модуле, просмотри какие модули подгружины в исследуемое приложение, через кнопку E, или же через View -> Executable modules, там тоже есть модули. Если тебе надо поставить бряк на DLL'ку, то выбери её для начала, а потом ставь.

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Приветствую всех.
Такой вопрос - как под отладчиком запустить программу , которая требует параметра командной строки install? В отладчике программа не раьотает, жалуясь на неверные параметры командной строки.

5d93_13.12.2008_CRACKLAB.rU.tgz - bad.JPG

| Сообщение посчитали полезным:

OllyDbg -> Debug -> Arguments

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Также в окне открытия файла поле "Arguments:"

| Сообщение посчитали полезным:

Спасибо, действительно проглядел, в окне диалога открытия есть.

| Сообщение посчитали полезным:

в олли при отладке проги идут вызовы функций из advapi32.dll, имена самих функций определяются и подписываются вроде ADVAPI32.CryptAcquireContextA, а вот имена параметров, передаваемых функции - нет. можно ли сделать чтоб подписывались, как например для функций из kernell32.dll и других системных? поковырялся с import libraries - ничё не вышло

| Сообщение посчитали полезным:

Насколько я знаю, в самой ольке вбиты функции с параметрами из основных библиотек, поэтому без реверса самой ольки и дописывания параметров руками она их не потянет.

| Сообщение посчитали полезным:

нашел следующую информацию:
------------------------------------------------------
- Я выяснил, что программа ничем не запакована и Peid показывает: Microsoft Visual
C++ 6.0. Что это значит?
- Это значит, что программа написана на MS C++, чтобы начать взлом программы сделай
следующее: открой то окно, где нужно вводить рег. код (или серийный номер...). Теперь
открой Softice (Ctrl+D) и пиши bpx GetDlgItemTextA и bpx MessageBoxA. Жми F5. Вводи
любые данные вместо серийного номера и жми OK (или др.). Должен выскочить SoftIce.

Нажми несколько раз F12, пока не увидишь (в заголовке окна, где ты вводишь команды
для SoftIce) текст с названием программы, которую ты хочешь ломануть. Дальше жми
Ctrl+Up или Ctrl+Down и увидишь, что исходный код двигается вверх или вниз. Пролистывай
вверх, пока не увидишь строку типа USER32!GetDlgitemTexta() и где-то рядом строку
"MessageBoxA". Обычно между этими строками есть условные переход(ы) -
JZ, JNZ, JE, JNE или др.. Если так,то попробуй этот прием. Удали прежние брейкпоинты:
"bc *" и поставь новый на той строке, где написано GetDlgitemTexta. Выйди из SoftIce: F5. Теперь
повтори всё с вводом регистрационных данных в окне программы. Жмешь в проге ОК и
выскакивает SoftICE. Нажимай F10, пока не дойдешь до строки с условным переходом, но
не делай этот переход! Найди в окне регистров букву z или Z и замени ее на
противоположную по регистру (Z на z или наоборот). Теперь пройди этот переход, нажав
F10. Далее жми F5. Если покажется красивое окно, что данные, введенные тобой верны,
то ты взломал программу!
----------------------------------------------------
SoftIce у меня никакой нормально не ставится и не работает. Возможно ли проделать аналогичные дейсвия с помощью другой программы отладчика, например Olydbg? Если да, то кто сможет поэтапно расписать взлом на Olydbg, как пример выше для SoftIce? пробую найти ключ на http://www.allmoments.at.ua/index/0-15 http://www.allmoments.at.ua/index/0-15

| Сообщение посчитали полезным: