問題タブ [ollydbg]

ollydbg でプログラムを分析していますが、一部の命令が [ARG.1] として逆アセンブルされます。例: MOV ESI,[ARG.1]

アセンブリ ブックでこのコマンドを検索してみましたが、ollydbg でのみ使用され、標準のアセンブリ コードではないようです。私は正しいですか？そしてそれはどういう意味ですか？

私はリバース エンジニアリングに関する lena151 のチュートリアルに従っていますが、解凍以外はすべてうまくいっています。私は64ビットのWindows 7マシンでollyを実行していますが、アドレスがEAXに移動され、次に別のアドレスがECXに移動された後、EPが常に「JMP 71B00000」である場合を除いて、正常に動作します。ECX への呼び出しが行われ、プログラムに渡すことができない例外が発生します。これは、EP からコードをステップ実行した場合にのみ発生します。これが何なのか誰か説明してくれませんか？

スタックに値をプッシュする命令があると言う方法はありますか、その命令がOllyDbgで実行されることにつながる可能性のあるすべてのジャンプを見つける方法はありますか？

ありがとう

Windows7 x64 と OllyDbg 2.01(alpha 2) を使用しています。

私はexeを持っていて、実行中にいくつかの情報を表示するためにMessageBoxをポップアップしたいのですが、これを行う方法を示す素晴らしいチュートリアルがあります: How to inject code into a exe file、基本的には、MessageBoxA APIを追加することです必要な情報を呼び出します。

ライブ デバッグ セッションでは機能します。コードを挿入してからデバッグすると、メッセージ ボックスがポップアップします。しかし、実行可能ファイルを保存した後（RMB->編集->すべて選択; RMB->編集->実行可能ファイルにコピー; 新しいウィンドウでRMB->ファイルを保存）、実行すると、クラッシュしました。

ここに私が観察したものがあります：

保存前、CALL MessageBoxA は実際には CALL 74DAFD1E です。これは、74DAFD1E が API MessageBoxA のアドレスであることを意味しますが、保存後、アドレスは別の値に変更されます。

また、 ASLRは実質的に Windows API 呼び出しの挿入を停止すると思いますか?

何か案は？そのexeから必要な情報を表示するにはどうすればよいですか?
前もって感謝します！

この問題の解決策を見つけるのに多くの時間を費やしました。ご存じのように、OllyDbg は人気のあるデバッガーですが、Win7 x64 では問題があります。

olly で開いたすべてのファイル (異なるコンパイラで!) の最初の行を次のように置き換えます。

「comodo サンドボックス、互換性」などのいくつかのアドバイスは機能せず、仮想マシンを使用したくありません。

ollyでプログラムを逆にしたい。ollyがロードするセグメントは.textではなく、OEPはolly仮想アドレススコープ外です。OEPとセグメントのアドレスは、LordPE、PEexplorer、PEiDなどのPEエディターで見つけることができます。どうすればOEPをオリーに持ち込むことができますか？

私は今、真剣に何ヶ月も費やした問題を抱えています！

基本的に、HD5ファイルからの読み取りとHD5ファイルへの保存を必要とするコードを実行しています。これにはh5pyを使用しています。

問題（問題が何であれ）はケースの5％程度でのみ発生し（各実行には数時間かかります）、問題が発生するとPythonが完全にクラッシュするため、デバッグは非常に困難です。そのため、Python自体でデバッグすることはできません。単純なログを使用して、正確なクラッシュ状況を特定することも不可能です。これは非常にランダムで、コード内のさまざまなポイントでクラッシュするか、遅延があるように見えます。

OllyDbgを使用して何が起こっているのかを理解しようとしましたが、次の場所で常にクラッシュしていると安全に結論付けることができます：http: //i.imgur.com/c4X5W.png

PythonネイティブのPyObject_ClearWeakRefsを呼び出した直後に、アクセス違反のエラーメッセージが表示されたようです。奇妙なことに、ファイルは正常に書き込まれます。アクセス違反エラーの原因は何ですか？または、そのpythonは内部（スタックなど）であり、ファイル（つまり私のコード）に関連していませんか？

誰かがここで何が起こっているのか考えていますか？そうでない場合、正確に何が起こっているのかを知るためのより賢い方法はありますか？多分いくつかの隠されたPythonログまたは私が知らない何か？ありがとうございました

組み立てと分解についてもっと知りたいと思っています。私の目標は、デバッガーを使用して特定のアドレスが書き込まれる方法を変更することです（完全に）。できれば、数値（20、50など）でインクリメントすることで、浮動小数点数のアドレス（この場合はにあります）を識別できます33B7420C。

メモリアクセス書き込みにブレークポイントを設定すると00809B2E、次のアセンブリが含まれるようになります。

FSTP DWORD PTR DS:[ESI+1224]

このアドレスで正確に何をしているのですか？FPUレジスタに探している番号があることは知っていますが、このアドレスが何をしているのかわかりません。

私がグーグルに最も近いのは 、MOV EAX、DWORD PTR DS：[ESI]とは何を意味し、それは何をするのかということです。

レジスタのコピーは次のことを示しています。

助けていただければ幸いです、ありがとう！

cesarftp を実行しているサーバーでテストしました。ollydbg を使用してサーバー上の ftp サーバーをデバッグしました。

私が使用したエクスプロイトはhttp://www.exploit-db.com/exploits/1906/です

「JMP ESP」アドレスを正しいアドレスに変更しました (サーバーはポーランド語の XP を実行していないため、英語の XP を実行しています。ollydbg の実行可能モジュールを使用してコマンド「JMP ESP」を検索したところ、これが見つかりました。)

しかし、エクスプロイトは適切に実行されず、ログイン後、ftp サーバーがクラッシュし、シェルが起動しませんでした。

コードは「JMP ESP」領域でのみ変更する必要があるようです..

私は何を間違えましたか？

編集: シェルコードは、適切に実行された場合、calc.exe を起動するようです。これは起こりませんでした。そして明らかに、シェルは得られませんでした。

ollydbg の基本はかなりよくカバーされていますが、レンガの壁にぶつかっています。

1. 検索で参照テキストが見つかりません。これを回避するためのプラグインを推奨できますか?

2. プラグイン ディレクトリはオプション => ディレクトリで参照されますが、プラグイン ドロップダウンでは、ブックマーク以外のオプションはありません。ブックマークをクリックすると空になります。

ありがとう