Дизассемблирую одну программку... она октрывает test.txt ... и даже в самом екзешники соотсвенно есть имя этого файла... но вот Айда не может найти ссылку на этот участок .. может хистрость какая нибудь в адресации... хотя фиг его знает... ну вот как бы мне брякнуть тогда когда из этого блока данных будет читаться эта информация...

.data:0050E2AC test db 'test.txt',0

Используя SoftIce - легко. Останавливаешься на IoCreateFile твоего файла и ставишь нужный бряк.

P.S. А где же volodya. HELHEIM спит ??? :-)

А за что?
Кстати, твой совет хреновый. Если нет прямых ссылок, я бы ставил bpm r куда-нибудь прямо в середину строки.

Блин, так и знал... Второй раз недоговариваю и на: на съеденье льва. IoCreateFile для того, чтобы перейти в адрессное пр-во поцесса, чтобы там ставить BPM. Именно это я имел ввиду. А обойти IoCreateFile низя. (есть и другие способы перехода в адрессное пр-во и остановку процесса при запуске его - тот, что я предложил один из них) А если ждать пока загрузится прога, коммандой addr перейти в нужный контекст, то за это время прога уже откроет этот файл. Разве не так ???. Главное не упустить момент. Так что просто так bpm - не кактит.

А недоговорил до конца, т.к. тема проста. Ну пожалуй теперь по полной.

Ну, гы, я ведь тоже не настолько чайник. Ессно, addr.

Не, ну чё вы советуете то ;-)
Берем Olly в ней ставим бряк на этот адрес
Breakpoint -> Memory, on access , всё.

> А если ждать пока загрузится прога, коммандой addr перейти в нужный контекст, то за это время прога уже откроет этот файл.

Это нужно большими буквами :-)

А через Symbol Loader загрузить прогу и встать на EP не судьба что ли?

To Asterix

Это шож же. Надо было чтоли все способы перебрать, чтобы никто не придирался??? :-)

"Это нужно большими буквами :-)" - я уже писал:есть и другие способы перехода в адрессное пр-во и остановку процесса при запуске его - тот, что я предложил один из них" Именно этот способ без использования "Symbol Loader"

volodya
А почему не в начало строки а в середину?

Да куды хошь, туда и ставь, только адрес должен быть выровнен.

volodya
Понятно. Просто я подумал, что это хитрость, какая-та...

volodya
> Да куды хошь, туда и ставь, только адрес должен быть выровнен.

Зачем ??

Asterix
Насколько я знаю, это нужно чтобы команда bpm сработала (она же использует отладочные регистры...).

Ну и что?

Не, на самом деле, скока ставил - пофиг на выравнивание.

И, кстати, забыл добавить к ответу на заголовок темы (который, по-моему, давно забыт).
Не факт, что если поймать обращение к данным, то это CreateFile. Бывает, что некоторые проги (парочку встречал) несколько раз копируют строку в разные места памяти, далее исполняют какой-то код а потом обращаются к одному из экземпляров, уже в качестве параметра к CreteF...
Уточнение: Имею ввиду случаи явного затуманивания, расчитанного на огран-ть кол-ва бряков на память и на терпение ломающего.