问题标签 [ollydbg]

我正在分析 ollydbg 中的程序，一些指令被反汇编为 [ARG.1]，例如：MOV ESI,[ARG.1]

我尝试在汇编书籍中搜索此命令，但似乎它仅用于 ollydbg 并且不是标准汇编代码。我对吗？这是什么意思？

我一直在关注 lena151 的逆向工程教程，除了拆包外，一切都很顺利。我在 64 位 Windows 7 机器上运行 olly，它工作正常，除非在跳转后 EP 始终为“JMP 71B00000”，地址被移入 EAX，然后另一个地址移入 ECX。对 ECX 进行了调用，但我得到了一个无法传递给程序的异常。这只发生在我从 EP 单步执行代码时。谁能向我解释这是什么？

有没有办法，比如有一条指令将一个值压入堆栈，有没有办法找到所有可能导致该指令被 OllyDbg 执行的跳转？

谢谢

I am using Windows7 x64, and OllyDbg 2.01(alpha 2)

I have an exe, and I want to popup a MessageBox to show some information during execution, and there is a great tutorial shows you how to do this: How to inject code into a exe file, basically, it is about adding a MessageBoxA API call with the wanted information:

It does work when in live debug session: I injected the code, and then debug it - the message box does pops up. But after I save the executable (RMB->Edit->Select all; RMB->Edit->Copy to executable; In the new window, RMB->save file), and then execute, it just crashed.

Here are what I've observed:

Before save, the CALL MessageBoxA is actually CALL 74DAFD1E, which means 74DAFD1E is the address of API MessageBoxA, but after save, the address is changed to some other value.

Also, do you think ASLR would virtually stop up from injecting windows API call?

Any ideas? how could I managed to show the information I wanted from that exe?
Thanks in advance!

我花了很多时间来寻找解决这个问题的方法。如您所知，OllyDbg 是一种流行的调试器，但在 Win7 x64 上存在问题。

我用 olly 打开的每个文件（使用不同的编译器！）它都会用以下内容替换一些第一行：

像“comodo 沙盒，兼容性”这样的建议不起作用，我不想使用虚拟机。

我想在 olly 中反转一个程序。olly 加载的段不是 .text 并且 OEP 超出了 olly 虚拟地址范围。可以使用 LordPE、PEexplorer 和 PEiD 等 PE 编辑器找到 OEP 和段地址。如何将 OEP 带入 olly？

我有一个问题，我现在花了几个月的时间来解决！

本质上，我正在运行需要读取并保存到 HD5 文件的代码。我为此使用 h5py。

调试起来非常困难，因为问题（无论是什么）只发生在大约 5% 的情况下（每次运行需要几个小时），当它到达那里时，它会完全崩溃 python，所以用 python 本身调试是不可能的。使用简单的日志也无法确定确切的崩溃情况——它似乎是非常随机的，在代码中的不同点崩溃，或者有延迟。

我尝试使用 OllyDbg 来弄清楚发生了什么，并且可以安全地得出结论，它始终在以下位置崩溃：http: //i.imgur.com/c4X5W.png

似乎是在调用 python 本机 PyObject_ClearWeakRefs 后不久，出现访问冲突错误消息。奇怪的是文件被成功写入。什么会导致访问冲突错误？或者是python内部（例如堆栈？）而不是文件（即我的代码）相关？

有谁知道这里发生了什么？如果没有，是否有更聪明的方法来找出到底发生了什么？也许一些隐藏的python日志或我不知道的东西？谢谢

我正在尝试更多地了解组装和拆卸。我的目标是修改使用调试器（olly）编写特定地址的方式。最好通过将其增加一个数字（20、50 等）。我可以识别浮点数的地址（在这种情况下位于33B7420C）。

当我在内存访问写入上设置断点时，它会将我带到00809B2E具有以下程序集的位置：

FSTP DWORD PTR DS:[ESI+1224]

它到底在这个地址做什么？我知道 FPU 寄存器有我正在寻找的号码，但不确定所有这些地址在做什么。

我最接近谷歌搜索的是： MOV EAX, DWORD PTR DS:[ESI] 是什么意思，它有什么作用？

寄存器的副本显示以下内容：

任何帮助将不胜感激，谢谢！

我在运行 cesarftp 的服务器上进行了测试。我使用ollydbg调试了服务器上的ftp服务器。

我使用的漏洞是http://www.exploit-db.com/exploits/1906/

我将“JMP ESP”地址更改为正确的地址（因为服务器没有运行波兰语 XP；它运行的是英语 XP。我使用 ollydbg 上的可执行模块并搜索命令“JMP ESP”发现了这一点。）

然而，exp 未能正确执行，登录后，ftp 服务器就崩溃了，没有启动 shell。

在我看来，代码只需要在“JMP ESP”区域进行修改..

我做错了什么？

编辑：如果正确执行，shellcode 似乎会调出 calc.exe。这没有发生。显然，没有得到贝壳。

我已经很好地掌握了 ollydbg 的基础知识，但遇到了障碍：

1. 在搜索中找不到引用的文本，有人可以推荐插件来解决这个问题吗？

2. 在选项 => 目录中引用了插件目录，但在插件下拉列表中，除了书签之外，我没有其他选项。点击书签，它是空的。

谢谢