1. Zuhause
  2. Frage und Antwort
  3. OllyDbg 2.01 - Einen Befehl finden, der auf eine statische Zeichenkette referenziert

OllyDbg 2.01 - Einen Befehl finden, der auf eine statische Zeichenkette referenziert

2014-07-03 16 views
7

Ich habe kürzlich mit Hilfe von OllyDbg 2.01 und crackmes ausführbaren Dateien angefangen, Cracking und Reverse-Engineering.OllyDbg 2.01 - Einen Befehl finden, der auf eine statische Zeichenkette referenziert

So in diesem speziellen Crackme, ich durch die Befehle wurde Scrollen und ein PUSH mit einem ASCII-String "& File" zur Kenntnis genommen (es ist ein Menü string):

1

Also dachte ich: „Wenn Ich kann diese Information durch einfaches Scrollen finden, sicherlich muss es einen automatischen Weg geben, einen Befehl zu finden, der auf eine bestimmte Zeichenkette verweist ".

Also habe ich an die Spitze des Programms erhalten, STRG + B treffen und für ASCII „Datei“ suchen hoffentlich wieder zu finden:

2

Nach dem Drücken auf OK, wird OllyDbg nicht finden die früher PUSH. Stattdessen habe ich diese:

3

Mmmh .. Okay, das ist nicht das, was ich erwartet hatte, aber mal sehen, was da drin ist. so Rechtsklick I => in Dump Folgen, und ich bekomme diese:

4

Also ja, wir unsere Zeichenfolge in der Müllhalde gefunden. Allerdings habe ich meinen ursprünglichen PUSH immer noch nicht gefunden. Sie können auch feststellen, dass die Adresse der Zeichenfolge die gleiche ist wie das Argument von PUSH (40512C).

Als letzten Versuch, klicken Sie mit der rechten Maustaste auf den Buchstaben unter der Adresse 40512C, wählen Sie "Find References", aber nein: keine Referenz gefunden.

Also TL; DR-Frage: Wie finde ich automatisch einen Befehl, der auf einen String verweist? Weil ich natürlich nicht den gesamten Befehlsstapel scrollen werde, wenn ich eine Zeichenfolge finden will.

PS: Die Zeichenfolge wird auch nicht in "referenzierten Textzeichenfolgen" angezeigt.

Vielen Dank im Voraus für Ihre Hilfe.

EDIT: Okay, also habe ich eine Lösung gefunden. Ich suchte den Code für "2C 51 40 00", der die Adresse rückwärts ist, und ich fand meinen PUSH wieder. Es ist ein bisschen hacky, jeder mit einer effizienteren Lösung ist willkommen zu teilen.

Quelle

2014-07-03 Ely

Antwort

4

So gibt es mehrere Möglichkeiten, dies zu tun. Was ich bevorzuge, ist folgendes: Ctrl+G und gehen Sie zu Ihrer Zeichenfolge in der Dump. (0x0040512C) Wählen Sie das erste Byte und drücken Sie Ctrl+R. Dadurch erhalten Sie eine Liste, in der auf die bestimmte Zeichenfolge verwiesen wird. Sie könnten auch einen Hardware-Haltepunkt auf das erste Byte der Zeichenfolge "&" setzen und dann brechen Sie jedes Mal, wenn etwas darauf zugreift. Sie können auch nach Konstanten suchen (die Adresse oder die ASCII-Zeichen selbst).

Durch die Art und Weise ist es eine Subsite für reverseengineering :)

gewidmet

Quelle

2014-07-04 12:09:29

+0

ich Strg + R versucht, wie in meinem Beitrag (Rechtsklick auf das erste Byte und die Auswahl von „finden Referenzen“) angegeben, aber es brachte nicht irgendein Ergebnis. Über Speicher Breakpoints: yeah Ich habe sie vor kurzem entdeckt und sie sind fantastisch :). danke für den Tipp über die Reverse Engineering Subsite, ich werde es überprüfen. – Ely

 Verwandte Themen

  • Keine verwandten Themen^_^