問題タブ [ollydbg]

私は olly 2 Beta を持っていましたが、それは正常に動作していましたが、コール スタック ウィンドウのような Olly 1 のいくつかの古い機能が欠落しており、どのプラグインでも動作しません。そこで、Olly 1.10 に切り替えることにしました。

問題は、プログラムをロードするたびに、「ntdllでのシングルステップイベント - Shift + F8を押して実行をメインプログラムに渡す」などと表示されることです。キーの組み合わせを押すと、「デバッグされたアプリケーションは実行を処理できませんでした」と表示されます。「00000000-FFFFFFFF」を例外範囲として渡そうとしましたが、すべての「例外を無視」オプションに飽き飽きしましたが、アプリケーションがクラッシュします。

Windows 7 Ultimate 64 ビットを実行しています。どんな助けでも大歓迎です。

私の友人が、彼がコーディングした小さなプログラムをハックするよう私に挑戦しました。基本的には画像を表示するexeファイルですが、そのためにはパスワード付きのキーファイルが必要です。

ollydgb でリバース エンジニアリングを開始したところ、key.txt という名前のファイルが存在し、パスワードが含まれている必要があることがわかりました。私が気付いたもう 1 つのことは、私の友人がパスワードを使用してメモリ アドレスを計算し、それを呼び出していることです。そのため、間違ったパスワードを使用すると、アプリケーションがランダムなアドレスにジャンプするため、おそらく違反が発生してアプリケーションがクラッシュします。

彼は基本的にパスワードを EBX に保存します。彼は固定値 EAX を置きます。次に、ADD EAX、EBX、最後に CALL EAX を実行します。

したがって、これらすべてを知っていて、次に実行するアドレスがわかっている場合は、EAX に格納されている固定値からアドレスを差し引くだけで、パスワードに対応する HEX 値を取得できます。

私の問題は、次に実行されるアドレスをどのように知ることができるかということです。私はクラッキングにかなり慣れていません...

CALL の後に次のアドレスを指定しようとしましたが、うまくいきません。使用しているライブラリも確認しましたが、確かにopengl32が表示されますが、そのライブラリにジャンプする必要があるかどうかはわかりません。

私の質問は、実行される次のアドレスをどのように把握できますか?

OllyDbg を使用して、特定の関数が毎秒何回呼び出されているかを調べるにはどうすればよいですか? または、EIP が特定の値を持つ合計回数をカウントするにはどうすればよいですか?

このコードの実行時に OllyDbg を中断させたくありません。

GDBでは、のようなコマンドを発行することで、デバッグしている実行可能ファイルの一部である関数を呼び出すことができますcall foo("123")。

OllyDbg（またはおそらく他の主にWindowsデバッガー）で同じことを行うにはどうすればよいですか？

OllyDbgを使用して.COM実行可能ファイルをデバッグする方法はありますか？EXEのみを受け入れるようです。

私は、VB6 アプリケーションを分析して Windows XP のすべてのイベントとメモリ アクセスをキャプチャする Numega SmartCheck ツールを使用していました。しかし、Windows 8 にアップグレードしたため、アプリケーションを実行できず、アクセス違反エラーが発生しています。

さて、私は新しい同等またはより良いアプリケーションを考えています。彼らに最適なデバッガー/エミュレーターはどれですか? PS: Ollydbg を使用しています。したがって、高レベルのエミュレーター/デバッガーを期待しています。

Windows 7 x64 で Ollydbg 2.01 を使用しています。プログラムを開くたびに、Olly は API 呼び出しを表示しません。コメント セクションの API 呼び出しに注目してください。

そして、ここに私が見るものがあります

API 呼び出しがなく、一般的な情報のみであることに注意してください。分析しようとしても (Ctrl+A)、何もしません。私が気づいたことの 1 つは、.UDD パス ファイルを設定しようとしても機能しないことです。API ヘルプ ファイル (正常に動作します) と .UDD パス ファイルを設定し、Olly を再起動します。.UDD パスを見ると、単一のピリオドに置き換えられています。

test1.exeサンプル ライブラリを使用するサンプル プログラムがありますtest2.dll。

• test.dllA()とB()同じタイプの関数が含まれています。
• test1.exe呼び出しAてから終了します。

ここで次の呼び出しを見つけましたA(): ( http://i.stack.imgur.com/5W9Jd.jpg )

さて、私が間違っていなければ88FDFFFF、 の正しいオフセットに置き換える必要がありますが、の代わりに呼び出されるB()ように計算するにはどうすればよいですか?B()A()

アセンブリ言語プログラムのソースコードがあり、すべての行にコメントがあります。これらのコメントは、デバッグ時にOllyDbgの逆アセンブリのコメント列に表示されます。本格的なプラグインを作成せずに、これを行う方法はありますか？

OllyDbgが逆アセンブルに問題を抱えているコードがあります。これは主に間接ジャンプで発生します。たとえば、下の画像に示されているコードでは、EIP（CPU命令ポインター）が有効なコードアドレスである401839にあることがわかります。0x83F800は「cmpeax0」に分解する必要がありますが、OllyDbgはそれを実行していません。CPUはコードを正常に実行しますが、逆アセンブリが表示されません。

OllyDbgにコードを逆アセンブルするようにヒントを与える方法はありますか（たとえば、401836以降）？

メニューの「コードの分析」（ctrl + A）を使用してみましたが、この場合は機能しませんでした。