Я еще никогда скриптов не писал.
Нужно такое:
Есть вызов функции вида
call dword ptr [xxx]

Есть функция например "Func1@@xyz".
Нужно чтобы скрипт нашел где лежит эта функция и поместил в call dword ptr [xxx] вместо Xxx соответствующий адрес.
Это наверно легко? Как это сделать?

| Сообщение посчитали полезным:

var CodeBase
var addr
mov addr, YYYYYYYY // адрес вызова функции вида call dword ptr [xxx]
GMI eip, CODEBASE
mov CodeBase, $RESULT // Получили адрес начала секции code
find CodeBase, #XXXXXXXXXX............# // где ХХХХХХХХХ........ - сигнатура начала функции Func1@@xyz
cmp $RESULT, 0
je cancel_Script
add addr, 2
mov addr, $RESULT
ret

cancel_Script:
ret
Вроде так

| Сообщение посчитали полезным:

Ошибка в строчке 6
find CodeBase, #XXXXXXXXXX............# // где ХХХХХХХХХ........ - сигнатура начала функции Func1@@xyz

Не очень понял что тут писать.
Например функция должна вызываться так:
0048A37B . FF15 98F34800 CALL DWORD PTR [<&MSVCRT.__setusermather>; MSVCRT.__setusermatherr

Какая тут сигнатура?

| Сообщение посчитали полезным:

Какая тут сигнатура?
В данном случае такая : #FF 15 ?? ?? 48 00#

| Сообщение посчитали полезным:

sliderZ
Объясни толком че те нада
sliderZ пишет:
Например функция должна вызываться так:
0048A37B . FF15 98F34800 CALL DWORD PTR [<&MSVCRT.__setusermather>; MSVCRT.__setusermatherr
зто функция "вида call dword ptr [xxx]" ?
Вместо __setusermatherr ты хочешь вызвать "Func1@@xyz" ?
Че за функция Func1@@xyz, импортируемая или как. Если нет, то где она расположена, в секции кода?

| Сообщение посчитали полезным:

Есть импортируемая функция MSVCRT.__setusermatherr.
Есть место в коде call dword ptr [00000000]
Нужно чтобы там вместо [00000000] появился указатель где лежит MSVCRT.__setusermatherr.
Вроде так.

| Сообщение посчитали полезным:

Если известно имя функции и она импортируется тады так
var addr
var imp
mov addr, YYYYYYYY // адрес вызова функции вида call dword ptr [xxx]
mov imp, XXXXXXXX // адрес начала таблицы импорта
gpa "__setusermatherr", "MSVCRT.dll" //Получили адрес __setusermatherr в системе
cmp $RESULT, 0
je cancel_Script
find imp, $RESULT // Ищем указатель на ф-ию __setusermatherr в таблице импорта
cmp $RESULT, 0
je cancel_Script
add addr, 2
mov addr, $RESULT
ret
cancel_Script:
ret

| Сообщение посчитали полезным:

Вот с этой строчкой проблема:

gpa "__setusermatherr", "MSVCRT.dll" //Получили адрес __setusermatherr в системе

Всегда 0 возвращает.

Как вот такую в этой строчке правильно прописать, перепробовал штук 20 вариантов, нифига,0 возвращает

Type=Import
Name=user.?CheckForNumbers@@YAXXZ

| Сообщение посчитали полезным:

sliderZ
Какая версия ODbgScript?

| Сообщение посчитали полезным:

версия ODbgScript v1.48 by Epsilon3

| Сообщение посчитали полезным:

sliderZ сразу качай и ставь ODbgScript v1.64 v3

в 1.48 у меня любили поглючить и gpa, и eoe, а в промежуточных 1.61-1.63,- SUB

| Сообщение посчитали полезным:

Скачал последнюю версию, кое что начало работать. Но то что мне нужно все равно не работает.

Почему-то складывается ощущение, что gpa находит только функции системных dll'ок, а функции собственных dll'ok проги не находит?

| Сообщение посчитали полезным:

Я могу сильно ошибаться ибо давно дело было, но вроде когда то справку переводил и gpa, вроде была для определения только в системных библ. Может в последнее время её научили и просто библиотеки сканить, да пока криво. Если это баг на какой то системе(у crc1 я так понял работает) можно попытаться написать автору или даже просто найти топик на краклабе по ODbgScript и тиснуть сообщение туда(у меня такое впечатление что автор его смотрит, так как по ошибке SUB за три- четыре дня поправил после моего поста).

Вот топ нашел: http://exelab.ru/f/action=vthread&forum=3&topic=8693&page= 1

| Сообщение посчитали полезным:

crc1 пишет:
add addr, 2
mov addr, $RESULT
Пардон тут ошибка. надо так
add addr, 2
mov [addr], $RESULT
sliderZ пишет:
Почему-то складывается ощущение, что gpa находит только функции системных dll'ок, а функции собственных dll'ok проги не находит?
У меня все находит Версия ODbgScript 1.52


1ffd_24.07.2007_CRACKLAB.rU.tgz - gpa.rar

| Сообщение посчитали полезным: