Есть в Оле такая штука: можно поставить мэмори бряк на секцию
Set memory breakpoint on access
Как я понимаю access включает в себя write, read и execute. Есть отдельный бряк Set memory breakpoint on write. А можно ли поставить на секцию бряк что то типа
Set memory breakpoint on execute?

| Сообщение посчитали полезным:

Sturgeon пишет:
Set memory breakpoint on execute?
хз,но попробуй поставить атрибут read/write, ну а дальше по ситуации(убираешь атрибуты и F9)...

| Сообщение посчитали полезным:

Неа. Херня получается. Access violation и прога падает.
Я думал больше в сторону условных бряков. Типа того, что "бряк если 400000<eip<500000". Так можно? В Оле вроде можно ставить conditional бряки, но я не знаю как ими пользоваться.

| Сообщение посчитали полезным:

Sturgeon пишет:
Access violation и прога падает.
измени атрибуты read_write_execute, ну а дальше f9...

кто-то помню говорил, что есть плуг, который ставит Set memory breakpoint on access и после бряка проверяет eip. если это не тот регион, то продолжаем выполнение...

| Сообщение посчитали полезным:

Возможно поможет это:
BPX куда ставить if EIP<500000 && EIP>400000
Смысл в следующем: breakpoint куда-то (можно опр. функцию), если EIP в пределах от 400000 до 500000. Вот только бряк куда ставить...

| Сообщение посчитали полезным:

Тут весь смыл в чем. Это я воюю с Аспром, который без исключений. Вот хочу попробовать поймать его на обращении к секции кода. Он к ней обращается немерянное количество раз, но то на чтение, то на запись. А вот на исполнение по идее должен обратиться, когда все распакуется. Тут то я его и словлю. Попробовал набросать скриптец в ОллиСкрипт:
ti
lab1:
cmp eip,500000
jb end
ti
jmp lab1
end:
ret

но чего то он не фунциклирует.
Насколько бредовая идея? А то может не стоит и заморачиваться?

| Сообщение посчитали полезным:

гг, попробуй лучше в скрипте ставить memory бряк на секцию кода, дальше run и cmp eip,5000000...

| Сообщение посчитали полезным:

sniperZ пишет:
в скрипте ставить memory бряк на секцию кода,
Так там вроде не предусмотрено таких штук.
И еще вопрос. А есть что то вроде отладчика для Олиных скриптов?

| Сообщение посчитали полезным:

Sturgeon пишет:
Так там вроде не предусмотрено таких штук.
bprm 401000, $SizeRegion

| Сообщение посчитали полезным:

Sturgeon пишет:
А есть что то вроде отладчика для Олиных скриптов?
Ставь команду pause где нужно, а потом клавишей "S" трассируй свой скрипт в окне Script Window

| Сообщение посчитали полезным:

Всем спасибо! Со скриптом повошкаюсь, но пока решил вопрос проще: пишу в командлайне "TC eip<500000"
Срабатывает.

| Сообщение посчитали полезным:

Есть дистриб ольки, в котором ollydbg.exe пропатчен так ,чтобы она останавливалась только on execute :]

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix
А как называется? И где взять? Или исключительно приватный инструмент?

| Сообщение посчитали полезным:

Sturgeon пишет:
А как называется? И где взять?
У краклатинос называется что то типа парчиадо ;) удобней плуг OllyBone
crc1 пишет:
Ставь команду pause где нужно, а потом клавишей "S"
В свежих плагинах можешь просто загрузить скрипт и пошагово выполнять без пауз..

| Сообщение посчитали полезным:

pavka пишет:
плуг OllyBone
Да у меня с ним какие то праблы.
Вылетает "Kernel driver load returned status 2"

| Сообщение посчитали полезным:

Sturgeon пишет:
Вылетает "Kernel driver load returned status 2"

не судьба значит) есть ещё Shadow bpmx.exe тока хз чё она делает

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

pavka пишет:
В свежих плагинах можешь просто загрузить скрипт и пошагово выполнять без пауз..
Эт я знаю, имел ввиду использовать pause как брейкпйнт в скрипте.
Кстати, на счет свежих плагов
Есть такая скриптовая команда dbh (х.з. че она делает), так плуг 1.47 нормально ее проходит, а 1.52 ругается "Unable to read memory of debugged process (00ХХХХХХ..00YYYYYY). В чем фишка?

| Сообщение посчитали полезным:

crc1 пишет:
Есть такая скриптовая команда dbh (
Hides debugger

| Сообщение посчитали полезным:

Извините, что поднимаю тему, но тут еще появился вопрос по OllyBone. На SnD форуме наткнулся на похожую проблему у людей. Там оказалась проблема в том, что драйвер и плуг лежали в директории PLUGINS. После того как драйвер перенесли в корневую папку Оли все заработало.
Я пробовал запускать плаги, скачанные из разных мест и на разных сборках. Результат один: (OllyBone abort "Kernel driver load returned status 2"). Может быть дело как раз в том, что неправильно установлены плуг и драйвер? Как написано в ридми, плуг "ollybone.dll" я поставил в папку plugins, а драйвер ollybone.sys в корневую папку Оли. Потом пробовал переставлять по всякому. Один хрен не пашет. Скажите пожалйста, как правильно его установить, и, вообще, кто-нибудь с таким сталкивался?

| Сообщение посчитали полезным:

pavka пишет:
Hides debugger
Спосиб.

| Сообщение посчитали полезным:

Простите за надоедливость.
Расскажите как правильно установить OllyBone??

| Сообщение посчитали полезным:

На счет Set memory breakpoint on execute
В олле есть форма для установки Conditions, находится в меню "Debug" или Ctrl+T
Тут http://dump.ru/files/2/2451487494/ рисунок, показывающий, как устанивить бряку на исполнение в секции кода

| Сообщение посчитали полезным:

Да, я в курсе. Спасибо.
Только все равно праблы. Я тут выше писал, что это мне надо для Аспра. А трассировать кучу вложенных аспровских циклов это не для слабонервных. Я бросил через 15 минут.

| Сообщение посчитали полезным: