Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    А про то как инлайном патчить сам ехе я знаю!
     
    #741 tekton, 14 Dec 2010
    Last edited: 14 Dec 2010
  2. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Когда я писал ответ, я внимательно читал твой пост (-:
    Если ты умеешь инлайнить exe, то просто заинлайнь dll. Методика ничем не отличается ;)
     
  3. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    если я инлайню Dll то прога её не хочет принимать :(
    По этому я и пошёл таким путём :)
     
  4. Yakim

    Yakim New Member

    Joined:
    19 Nov 2010
    Messages:
    21
    Likes Received:
    1
    Reputations:
    0
    самый тупой вопрос :D

    как поставить брекпоинт? в OllyDbg :)

    upd.: нашел в олли 1.10, а во 2-й нету, но первая на в7 кучу ошибок выдаёт
     
    #744 Yakim, 16 Dec 2010
    Last edited: 16 Dec 2010
  5. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    F2 или двойной клик на адресе, во втором столбике, в верхнем левом окне отладчика. [​IMG]
     
    #745 tekton, 16 Dec 2010
    Last edited: 16 Dec 2010
  6. SHAG

    SHAG Elder - Старейшина

    Joined:
    14 Jul 2007
    Messages:
    57
    Likes Received:
    17
    Reputations:
    2
    Почитай русский хелп по оле, многие вопросы отпадут.
    хелп
     
  7. bafoed

    bafoed Member

    Joined:
    14 Jul 2009
    Messages:
    88
    Likes Received:
    12
    Reputations:
    10
    а есть видео уроки по реверсингу?
     
  8. swt1

    swt1 Elder - Старейшина

    Joined:
    16 Feb 2008
    Messages:
    306
    Likes Received:
    78
    Reputations:
    21
    1 person likes this.
  9. wolmer

    wolmer Member

    Joined:
    12 May 2009
    Messages:
    438
    Likes Received:
    97
    Reputations:
    9
    Пишу плагин под ollydbg.
    Не могу понять, через какую функцию можно получить список бряков? (из окошка "Breakpoints")
     
  10. seidju

    seidju New Member

    Joined:
    12 Jan 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Word 2003 вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним есть что-то неизвестное, допустим это вирус :).Причем если открывать этот же файл в Word 2007, то текст не отображается, только пустая таблица из одной колонки.
    У меня была аналогичная ситуация с другим документом, Word так же вылетал при открытии, затем снова автоматом запускался, но потом svchost начинал слать непрерывно dns запрос на сайт с "левым" названием, появилась новая служба, и в реестр добавились данные. Так же методом тыка удалось найти созданную dll в папке system32. Здесь всё тоже самое, только dns запросы никто никуда не шлет, соответственно вычислить инфицированный процесс ( если такой имеется) я затрудняюсь, опыта маловато. Всё запускаю под VMWare, операционка XP.
    Мой вопрос в следующем - какие есть способы анализа такого вот файла. Первым делом подумал на макровирус, но проверял всё Office Guard'ом и MacHunter'ом и никаких скрытых макросов они не нашли. Читал в интернете по поводу многочисленных уязвимостей MS Word по переполнению буфера, м.б. здесь применена именно такая техника? Если есть какие-то статьи, ссылки и прочее по реверсингу вот таких вот гадостей, буду очень признателен, я в этом деле начинающий...

    Скажу сразу, что сам документ скинуть не удастся, т.к. в нем содержится конфиденциальная информация.
     
  11. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    скажу сразу что гадать на кофейной гуще также сложно.
    И что вам мешает включить post mortem отладчик? хотя бы взять ollydbg
     
  12. seidju

    seidju New Member

    Joined:
    12 Jan 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    А как тогда ollydbg применять в данном случае? В нем запустить winword.exe, а там открыть данный файл?
     
  13. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    - just-in-time debugging
    - Если совсем все плохо - http://cracklab.ru/art/?action=view&id=284
    p.s прежде чем задавать вопросы следует попробовать сделать что-то самостоятельно
     
  14. seidju

    seidju New Member

    Joined:
    12 Jan 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Читаю манул на wasm.ru, до этого еще видимо не добрался. Спасибо.
     
  15. rootmd

    rootmd New Member

    Joined:
    9 Dec 2010
    Messages:
    101
    Likes Received:
    3
    Reputations:
    -5
    Добрый вечер всем!

    Можно как-то декомпиллировать бинарный файл линуксовый написанный в С?
     
  16. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    IDA Pro - Interactive Disassembler
     
  17. wolmer

    wolmer Member

    Joined:
    12 May 2009
    Messages:
    438
    Likes Received:
    97
    Reputations:
    9
    Ollydbg 2.

    Как правильно вызвать trace чтобы он вел лог команд (всех потоков (которые работают), и всех выполненых команд)

    Я вызываю trace так: Trace -> Run trace.
    Но когда я вызываю его так то он пишет не все команды.
     
  18. foozzi

    foozzi Member

    Joined:
    13 Apr 2010
    Messages:
    195
    Likes Received:
    13
    Reputations:
    5
    вообщем такая трабла, о ней все знают, то что softice не запускается по ctrl+d на w-xp sp3
    но я слышал что у кого то получалось, может кто рассказать как запустить айс на сп 3?

    а то устал под W98 на виртуалке пускать (

    [/OFFTOP]жаль автор бросил проект[OFFTOP]
     
  19. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Никак. Обработка идет только в MainThread, к тому же исключения как seh олька не сможет правильно обработать.
     
  20. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Сайс - єто прошлый век(могут конечно придти трухєккеры и орать, что єто олдскул). Если есть сильная потребность в нулевом кольце, то используйте Syser Debugger
     
    2 people like this.