logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Reverse Engineering >> Questions sur OllyDbg Newtopic | Reply
poster txt
DooMeeR
Inscrit le 14-08-2004
Avatar
Posté le 16-08-2004 18:42

Salut! Bon j\'v commencer par me présenter J\'ai commencé à cracker y\'a 3-4 ans à l\'époque de la main rouge, j\'ai pas avancé bien loin puis j\'ai arrêté; et là je m\'y remets ^^ Première chose j\'ai pas réussi à faire remarcher SoftIce mais j\'ai découvert OllyDbg qui me convient très bien, sauf que:

1) comment faire pour revenir au dernier CALL quand on débug? (Sous SoftIce je crois que c\'est en faisant F3) Non paske là je cracke des crackmes fait en Delphi et, en Delphi, quand on break on se retrouve forcément dans des librairies standard à perpète du code intéressant. Alors soit on avance pour espérer un RET (enfin un série de RET...) soit on revient. Pour revenir en arrière je peux lire le listing pour deviner d\'où je viens mais c\'est très aléatoire (je me retrouve par exemple en plein dans une série de JNE sans aucun jump vers eux, ce qui me paraît bien bizarre... doit y\'avoir des sauts indirects bref c galère). Donc j\'aimerais faire qqch de propre, c\'est à dire revenir au CALL précédent (et puis encore et encore jusqu\'à trouver ce qui m\'intéresse ).

Bon je suppose que soit c\'est pas possible, soit c\'est bidon, je m\'en excuse mais j\'ai pas trouvé dans l\'aide ni en faisant un recherche dans le forum.

2) J\'ai essayé de faire des recherches de String en faisant clic droit -> Search for binary string (ou Ctrl+B) mais ça trouve jamais rien, même quand j\'ai le texte sous les yeux (genre ASCII \"C\'est pas le bon code\" et je recherche code en virant \"case sensitive\" et \"entire block\"). Bon j\'ai fini par découvrir qu\'on pouvait voir toutes les string ref comme dans w32dasm donc c déjà pas mal vous me direz

3) A quoi servent les zones dans la fenêtre CPU? Bon ok en haut à gauche c\'est le code, en haut à droite c\'est les registres. En bas à gauche par contre je suis pas sûr: c\'est juste l\'exe en hexa j\'ai l\'impression. Et en bas à droite par contre je vois pas trop ce que c\'est.

... je crois que c\'est tout pour l\'instant ^^

Ah oui une question sans rapport avec OllyDbg: c\'est normal que le login sur ce forum dure aussi peu de temps? Je dois me relog quasiment toutes les 2min.
_________________________
DooM shall never die, only the players. ©Ray Davis
profil | Website | edit | quote
o.O
Inscrit le 10-07-2004
Avatar
Posté le 16-08-2004 19:51

Alors pour revenir au dernier CALL, tu as 2 solutions :
CTRL+F9 pour aller jusqu\'au prochain RET (voir menu Debug) soit en utilisant la stack (la zone en bas à droite) mais je te conseille d\'essayer d\'en apprendre plus sur l\'asm pour savoir comment t\'en servir...
Sinon l\'interface avec Ollydbg n\'est pas très intuitive :
selon où se trouve ton curseur CTRL+B agit différement. Donc si ton curseur se trouve dans la zone des opcodes Ollydbg cherchera dans le code. En bref si tu veux chercher dans toute la mémoire le plus simple est de faire ALT+M pour voir toute la mémoire listée. Puis de placer le curseur au début de la mémoire faire CTRL+B et mettre sa recherche (on peut mettre des wildcards ? dans la recherche).
Sinon si tu veux chercher dans des régions mémoires particulières le plus simple est d\'utiliser la fenêtre dump (la zone en bas à gauche) tu tapes CTRL+G pour aller au début de la région puis CTRL+B...

Mais le mieux est de furter dans les menus (contextuels ou non) et d\'essayer de s\'habituer à l\'interface.
profil | mail | Website | edit | quote
DooMeeR
Inscrit le 14-08-2004
Avatar
Posté le 16-08-2004 20:28

Merci pour ta réponse J\'ai essayé un peu tout ça.

D\'abord pour Ctrl+F9 le problème c\'est que le RET sur lequel il s\'arrête peut être dans un autre CALL (par exemple s\'il y a un CALL entre là où on se trouve et le RET de la procédure où on se trouve... si on est dans une procédure bien sûr). Je veux dire: le RET trouvé peut être à une \"hauteur\" différente. Donc je vais essayer de trouver des infos sur la stack (ça a pas un rapport avec ce que j\'appellerais la pile des appels?...) ^^

Sinon effectivement Ctrl+B n\'agit pas comme je le pensais. En fait je pensais qu\'il cherchait un peu partout, alors qu\'il ne cherche que dans la partie en hexa des fenêtres. Enfin au moins j\'ai découvert des trucs grace à toi

Allez j\'v continuer de fureter dans l\'aide
profil | Website | edit | quote
o.O
Inscrit le 10-07-2004
Avatar
Posté le 17-08-2004 00:21

Peut-être que tu ne veux pas revenir au dernier call mais plutot au dernier call du programme. Essaye ALT+F9 alors.
profil | mail | Website | edit | quote
DooMeeR
Inscrit le 14-08-2004
Avatar
Posté le 17-08-2004 01:58

Alors j\'ai essayé et effectivement ça revient au dernier CALL du programme... c\'est à dire que si j\'étais dans un autre module ben ça revient... enfin c\'est ce que j\'ai compris d\'après mes tests et d\'après la description (execute until user code) ^^

Donc ça fait exactement ce que je veux si je suis pas dans le module principal. Mais le problème c\'est que ça ne me convient pas quand je suis dans le module principal (puisque ça revient à faire F7).

Pour un programme fait en Delphi, une bonne partie du programme est constituée de librairies directement placées dans l\'exe, et les breakpoint (au hasard, sur ShowWindow) arrivent dans ces librairies. Donc pour sortir de ces librairies, Alt+F9 ne marche pas si les librairies étaient dans une DLL, d\'après ce que j\'ai compris, ça marcherait

Enfin j\'avais pas compris comment marchait Alt+F9 donc j\'ai quand même appris qqch du coup, merci ^^
_________________________
DooM shall never die, only the players. ©Ray Davis
profil | Website | edit | quote
OllyView
Inscrit le 26-08-2004
Posté le 26-08-2004 23:55

Salut
Sinon je ne sais pas si tu as essayé la touche \'-\' qui permet de revenir a l\'endroit précédent et la touche \'+\' qui permet d\'avancer dans le code.
Je ne suis pas sûr que ce soit ce que tu cherchais mais bon ...
profil | Website | edit | quote
DooMeeR
Inscrit le 14-08-2004
Avatar
Posté le 27-08-2004 01:01

Ouaip ça je connaissais et c\'est pas ça que je cherchais en fait ^^ Mais pour les progs Delphi je pense que je vais utiliser DeDe (je l\'ai essayé hier ou avant-hier chais pu et c bien sympas ). Pour les autres progs... chais pas ;p
_________________________
DooM shall never die, only the players. ©Ray Davis
profil | Website | edit | quote
Newtopic | Reply

Online : afujexuk, aiipoguj, amiofuhcef, AntoineBiomo, ekupipqe, Emanuelhon, enujifopadon, ewicime, ezawimijobal, ifuxuzanaima, ihegxnu, ijioraqajosak, ikoduvu, iwahukuma, Josephrarry, Kennethjashy, Leonginafew et 51 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page