[Description] Плагин, позволяющий просмотреть список установленных в программе VEH обработчиков. Достаточно выбрать пункт меню View VEH [щелкнуть правой кнопкой мыши в окне CPU и выбрать в меню этот пункт] screen http://0x0c0de.net/menu.JPG и в окне VEH Handlers появится список установленных VEH обработчиков. [Install] Копируете VEH_Walker_Plugin.dll в папку с плагинами OllyDbg. Загружаете в отладчик программу VEHDemo. Ставите бряк на адрес 0040106B - как раз тогда будут установлены все обработчики или на функцию ExitProcess и выбираете View VEH. Если все прошло хорошо, то вы увидите адреса 4-х обработчиков в окне VEH Handlers. На них можно ставить бряки [F2] прямо в окне VEH Handlers. Скрин http://0x0c0de.net/scr.JPG Двойной щелчок или клавиша Enter - переход по адресу обработчика [Download] http://0x0c0de.net/VEHWalk.rar *Тестировалось на winxp sp2 и sp3 (c) 0x0c0de 2008
получил 4 вектора Code: 1 00000000 ??? 2 00000010 ??? 3 00000020 ??? 4 00000030 ??? Вот адреса только нулевые, Windows XP
Хм, я тестила на WinXP SP3 и SP2 все гуд. SP какой у вас? Так же желательно назвать сборку OllyDbg и используемые плагины. При возможности, свяжитесь со мной по осеку. -----------Добавлено ----------- ----------------22.08.08-------------- Удалите предыдущую версию и установите отладочную. После работы плагина [вызова окна обработчиков] скиньте мне лог [из Log Window Alt+L] между --------VEH Walk log---------------- и -------VEH Walk end log------------ Скачать отладочную http://0x0c0de.net/VEH_Walker_Plugin_Debug.dll -------------23.08.08----------------- В отладочной версии добавлена поддержка XP без какого-либо SP. Опять же, просьба скинуть лог работы при возникновении ошибок [у самой все версии только с сп, поэтому протестировать у себя не могу] Спасибо
OS: Windows XP (без SP) Debugger: OllyDbg v1.10 Plugins: 9 штук bookmarks cmdbar cmdline HideDebugger OllyDump TEplus VEHWalker windowjuggler Чуть позже буду тестить дебаг версию, спасибо.
Опа, в дебаг версии все отлично работает. Code: Number Handler Disassembly 1 00401010 SUB EAX,EAX 2 00401000 PUSH EDI 3 00401030 SUB ECX,EAX 4 00401020 ADD EAX,EAX 0x0c0de а почему не копируется из окна просмотра VEH полученные данные, может стоит добавить если существует такая возможность.
>> Опа, в дебаг версии все отлично работает. Да, я до 0.2 еще позавчера [раньше?] обновила [весит чуть меньше и работает чуть быстрее]. Просто тут не отписалась, что все перезалито. Еще люди с win xp без сп тестили на др форуме, в выходные [в понедельник?] отрепортили, что все хорошо >> 0x0c0de а почему не копируется из окна просмотра VEH полученные данные, может стоит добавить если существует такая возможность. Плагин перезалит [там же лежит, где и в первом посте] , ваша просьба выполнена можете посмотреть так же версию для immunitydebugger, если вам интересно http://0x0c0de.net/imm_veh.rar Спасибо.
