Доброго времени суток!

Please, объясните где в энтой проге что и как с этим работать.

Конкретные вопросы:
1. Как найти вызов функции (MessageBoxA).
2. Как увидеть значения параметров фунцкий.
3. Как отмотать выполнение программы назад.

С уважением, Taurus

Taurus
OllyDbg?

1. Как найти вызов функции (MessageBoxA).
Есть плугин (его можно скачать из соответствующего раздела): "Command Bar" называется (не путать с "Command line"). Так вот, туда вводите BPX MessageBoxA.

2. Как увидеть значения параметров фунцкий.
IMHO, более наглядного показа значений чем в Olly трудно представить :-) Покопайтесь чуток.

3. Как отмотать выполнение программы назад.
Хмм... Olly с сайсом не путать! Вообще, конечно, для этого можно задействовать лог...

1. Ctrl-N на коде, начинай набирать MessageBox дальше правой кнопкой мышки вызвать меню и в ней выбрать Set BreakPoint on Every Reference, либо перейти на user32.dll, в ней найти функцию и на ее начало поставить бряк.
2. Если не показываются, то попробовать Ctrl-A нажать. Правда, они не показываются, когда вызов через регистр идет, типа такого

mov eax, MessageBox
call eax

3. Можно попробовать на коде правой клавишей и выбрать New origin here.

За ответы спасибо, помогли немного.


Эпс, не нашел я этот "Command Bar". Может кинешь ссылку?

Да еще вот вопрос, может где есть че на русском про работу с OllyDb?

И еще один, конкретный. По логу вижу, что прога вызывет модуль DLL, как перейти на точку вызова этого модуля?

С уважениеем, Taurus.

Taurus

По логу вижу, что прога вызывет модуль DLL, как перейти на точку вызова этого модуля?

Вопрос я как-то не совсем понял, но попытаюсь ответить:
1) Если имеешь в виду, что нужно поставить бряк на загрузку этой DLL, то это в "Options->Debugging options->Events" пункт "Break on new module". Бряк ставится на все загрузки.
2) Если хочешь перейти в эту DLL, то нажми "Alt+E" или кнопку с буквой "Е" на панели и 2 раза кликни мышой на нужной библиотеке.

Эпс, не нашел я этот "Command Bar". Может кинешь ссылку?
http://wasm.ru/toollist.php?list=9#145
Слона-то и не приметили? :-)

И вправду не приметил.

На тему DLL. Че мне надо, я знаю что программа в какой-то момент времени вызывает эту самую DLL. Мне надо найти точку вызова. Попробовал "Break on new module", таким образом мне на каждую остановку выдает такое:

7FFE02F8 0000 ADD BYTE PTR DS:[EAX],AL
7FFE02FA 0000 ADD BYTE PTR DS:[EAX],AL
7FFE02FC 0000 ADD BYTE PTR DS:[EAX],AL
7FFE02FE 0000 ADD BYTE PTR DS:[EAX],AL
7FFE0300 8BD4 MOV EDX,ESP
7FFE0302 0F34 SYSENTER
7FFE0304 C3 RETN; бряк

Попробовал сделать следующее: этот бряк стоит, нажимаю F9, пока не подгрузится нужная DLL, затем захожу в нее ставлю бряк F2, отключаю "Break on new module", нажимаю F9. Не помогает.

Еще момент: когда OllyDbg открывает программу, то он мне сообщает что этот файл self-extracting или self-modifying.
Что это значит?

Taurus

Самораспаковывающийся или самомодифицирующийся, кажется так.

Можно и мне пару ламерских вопросов задать:
1) Есть в этом отладчеке возможность поиска в памяти, например: S 0 l ffffff "MyName"

2) Я понимаю, что не софт айс, ну всеж может можно поставить
bpm ....

3) Если функции нет в списке импортируемых, но она используется (напр. HmemCpy) могу ли я на ней "притормозить"

4) Если идет код, допустим на делфи, огу я как в айсе подключить библиотеку, что бы:
CALL 441102

CALL _lstrcpyA
?

nice
1) Правый клик в дампе -> Search for -> string
2) Правый клик в дампе -> Breakpoint -> Memory, on access (on write)

Quantum
Big thx!

nice

На exetools, в разделе "Windows Crack Tutoriors", лежит небольшой
туториал по использованию OllyDbg, правда на английском, но там текста
почти нет, одни рисунки ;-)