首页
社区
课程
招聘
初学者见了Ollydbg
发表于: 2004-7-6 13:25 5682

初学者见了Ollydbg

2004-7-6 13:25
5682
看了tDasm老哥的文章以后对于刚学使用Ollydbg的我来说还比较有难度,还请前辈们指教,学破解真是有心跳的感觉,可是就是一时上不了手,急牙。我学过C看了一点C++现在在学JAVA,不过对破解真是一点也不懂,想拜个老师教我入门好么?我都是自学的,所以有很多幼稚的问题别笑我啊。

004FC74B  LOCK CMPXCHG8B EAX   ; 非法使用寄存器
修改004FC74B处的值F0为CC(int3)后
//这里的修改是不是在


F0:0FC7C8 处 按右键 -> 二进制化 -> 编辑(是不是这样修改??)


但是改过以后原来004FC74B变成INT3 004FC74C地方开始是不是增加了一行这会不会影响以后的程序运行,是不是所有的地址都会受到影响?


按shift-F9继续。出现异常:

004FDFF4  MOV SS,BX  ; 修正的段位寄存器
004FDFF6  PUSH 0
004FDFF8  JMP SHORT EXECrypt.004FDFFB
(弄懂原因后,就在这里下硬件断点,到数据转存窗口按Ctrl-G:0012ff84然后在0012FF84处下硬件断点:硬件访问->Dword)

为什么要Ctrl-G:0012ff84?? 我这里的地址不一样
这里就完全不懂了。数据窗口是哪个?
硬件断点和普通的断点有什么不同?

点击下载:附件!点击下载:附件!点击下载:附件!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
最新回复 (10)
雪    币: 109
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
怎么没人管牙??
2004-7-6 19:15
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
int3 只要一个字节 CC
LOCK CMPXCHG8B EAX 有四个字节
将第一个字节改为CC,后3个字节改为nop(90)就可以了
2004-7-6 19:39
0
雪    币: 109
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
nop(90)是什么意思?
2004-7-6 19:41
0
雪    币: 109
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
您是说把004FC74B的数据全部用 CC 替换掉?? nop(90)是什么?
2004-7-6 19:47
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
6
0070A74B CC
0070A74C 909090

NOP 无操作
2004-7-6 20:07
0
雪    币: 109
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
谢谢fly

004FDFF4 MOV SS,BX ; 修正的段位寄存器
004FDFF6 PUSH 0
004FDFF8 JMP SHORT EXECrypt.004FDFFB
(弄懂原因后,就在这里下硬件断点,到数据转存窗口按Ctrl-G:0012ff84然后在0012FF84处下硬件断点:硬件访问->Dword)

为什么要Ctrl-G:0012ff84?? 我这里的地址不一样
这里就完全不懂了。数据窗口是哪个?
硬件断点和普通的断点有什么不同?
2004-7-6 22:18
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
8
你就在左下方的转存窗口里面CtrlG:0012ff84
就可以抵达0012ff84了

另外:不要轻易在这里放目标程序附件
会当作脱壳申请封杀的
2004-7-6 22:24
0
雪    币: 109
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
Thank fly to remind very much!

硬件断点和普通的断点有什么不同?

004FDFF4 MOV SS,BX ; 修正的段位寄存器
004FDFF6 PUSH 0
004FDFF8 JMP SHORT EXECrypt.004FDFFB
(弄懂原因后,就在这里下硬件断点,到数据转存窗口按Ctrl-G:0012ff84然后在0012FF84处下硬件断点:硬件访问->Dword)
不知道当时tDasm是从什么地方得到0012ff84这个地址的?为什么要到这去?
2004-7-6 22:45
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
10
硬件断点不修改代码
普通的在代码插入CC来中断,不过调试器自动恢复,没有显示.
2004-7-6 23:23
0
雪    币: 109
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
004FDFF4 MOV SS,BX ; 修正的段位寄存器
004FDFF6 PUSH 0
004FDFF8 JMP SHORT EXECrypt.004FDFFB
弄懂原因后,就在这里下硬件断点??什么原因?

修正了堆栈寄存器这里是不是堆栈的基地址被修改了?
PUSH 0 起了个什么作用?
JMP SHORT EXECrypt.004FDFFB 这个004FDFFB 是相对地址还是绝对地址?
2004-7-6 23:30
0
游客
登录 | 注册 方可回帖
返回
//