Когда я писал ответ, я внимательно читал твой пост (-: Если ты умеешь инлайнить exe, то просто заинлайнь dll. Методика ничем не отличается
самый тупой вопрос как поставить брекпоинт? в OllyDbg upd.: нашел в олли 1.10, а во 2-й нету, но первая на в7 кучу ошибок выдаёт
Пишу плагин под ollydbg. Не могу понять, через какую функцию можно получить список бряков? (из окошка "Breakpoints")
Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Word 2003 вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним есть что-то неизвестное, допустим это вирус .Причем если открывать этот же файл в Word 2007, то текст не отображается, только пустая таблица из одной колонки. У меня была аналогичная ситуация с другим документом, Word так же вылетал при открытии, затем снова автоматом запускался, но потом svchost начинал слать непрерывно dns запрос на сайт с "левым" названием, появилась новая служба, и в реестр добавились данные. Так же методом тыка удалось найти созданную dll в папке system32. Здесь всё тоже самое, только dns запросы никто никуда не шлет, соответственно вычислить инфицированный процесс ( если такой имеется) я затрудняюсь, опыта маловато. Всё запускаю под VMWare, операционка XP. Мой вопрос в следующем - какие есть способы анализа такого вот файла. Первым делом подумал на макровирус, но проверял всё Office Guard'ом и MacHunter'ом и никаких скрытых макросов они не нашли. Читал в интернете по поводу многочисленных уязвимостей MS Word по переполнению буфера, м.б. здесь применена именно такая техника? Если есть какие-то статьи, ссылки и прочее по реверсингу вот таких вот гадостей, буду очень признателен, я в этом деле начинающий... Скажу сразу, что сам документ скинуть не удастся, т.к. в нем содержится конфиденциальная информация.
скажу сразу что гадать на кофейной гуще также сложно. И что вам мешает включить post mortem отладчик? хотя бы взять ollydbg
А как тогда ollydbg применять в данном случае? В нем запустить winword.exe, а там открыть данный файл?
- just-in-time debugging - Если совсем все плохо - http://cracklab.ru/art/?action=view&id=284 p.s прежде чем задавать вопросы следует попробовать сделать что-то самостоятельно
Ollydbg 2. Как правильно вызвать trace чтобы он вел лог команд (всех потоков (которые работают), и всех выполненых команд) Я вызываю trace так: Trace -> Run trace. Но когда я вызываю его так то он пишет не все команды.
вообщем такая трабла, о ней все знают, то что softice не запускается по ctrl+d на w-xp sp3 но я слышал что у кого то получалось, может кто рассказать как запустить айс на сп 3? а то устал под W98 на виртуалке пускать ( [/OFFTOP]жаль автор бросил проект[OFFTOP]
Никак. Обработка идет только в MainThread, к тому же исключения как seh олька не сможет правильно обработать.
Сайс - єто прошлый век(могут конечно придти трухєккеры и орать, что єто олдскул). Если есть сильная потребность в нулевом кольце, то используйте Syser Debugger
