[原创]OD插件 - Olly Advanced 1.26 Beta 12 [Bug修正]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]OD插件 - Olly Advanced 1.26 Beta 12 [Bug修正]

发表于: 2009-6-15 09:16 17270

[原创]OD插件 - Olly Advanced 1.26 Beta 12 [Bug修正]

sessiondiy 活跃值

2009-6-15 09:16

17270

开个新帖给有在用 Olly Advanced 1.26 Beta 12 插件的朋友做个参考

Bug: 在Anti-Debug里面的 FindWindow 没有打勾的情况下，OllDbg的窗口标题却跟有打勾一样：

      - [CPU - main thread, module NOTEPAD]

     少了前面的模组名称, 其实正常在 FindWindow 没有打勾时应是：

     OllyDbg - NOTEPAD.EXE - [CPU - main thread, module NOTEPAD]

这个 Bug 有改也好没改也好，应该影响不大．
下列是以 FindWindow 没有打勾的情况来讲解的．

这是英文原版 OllyDbg (2004/5/23) 的代码：

0047794E  |.  52            push    edx
0047794F  |.  6A 00         push    0
00477951  |.  6A 00         push    0
00477953  |.  6A 00         push    0
00477955  |.  51            push    ecx
00477956  |.  6A 00         push    0
00477958  |.  E8 73760300   call    <jmp.&KERNEL32.CreateProcessA>
0047795D  |.  85C0          test    eax, eax
0047795F  |.  75 1E         jnz     short 0047797F
00477961  |.  8D85 E0FEFFFF lea     eax, [ebp-120]
00477967  |.  50            push    eax
00477968  |.  8D96 74090000 lea     edx, [esi+974]
0047796E  |.  52            push    edx
0047796F  |.  E8 A8C6FDFF   call    _Error
00477974  |.  83C4 08       add     esp, 8
00477977  |.  83C8 FF       or      eax, FFFFFFFF
0047797A  |.  E9 08010000   jmp     00477A87
0047797F  > 8B95 14E4FFFF   mov     edx, [ebp-1BEC]

0047794E   . 52              push    edx
0047794F   . 6A 00           push    0
00477951   . 6A 00           push    0
00477953   . 6A 00           push    0
00477955   . 51              push    ecx
00477956   . 6A 00           push    0
00477958   . 68 BD290010     push    100029BD          ;到advancedolly.dll领空
0047795D   . C3              ret
0047795E     C0              db      C0                \
0047795F   . 75 1E           jnz     short 0047797F    |这
00477961   . 8D85 E0FEFFFF   lea     eax, [ebp-120]    |些
00477967   . 50              push    eax               |已
00477968   . 8D96 74090000   lea     edx, [esi+974]    |没
0047796E   . 52              push    edx               |有
0047796F   . E8 A8C6FDFF     call    _Error            |用
00477974   . 83C4 08         add     esp, 8            |到
00477977   . 83C8 FF         or      eax, FFFFFFFF     |了
0047797A   . E9 08010000     jmp     00477A87          /
0047797F   > 8B95 14E4FFFF   mov     edx, [ebp-1BEC]   ;advancedolly 将会回到此
00477985   . 8915 605A4D00   mov     [4D5A60], edx
0047798B   . 8B8D 18E4FFFF   mov     ecx, [ebp-1BE8]
00477991   . 890D 645A4D00   mov     [4D5A64], ecx
00477997   . C705 685A4D00 0>mov     dword ptr [4D5A68], 6
004779A1   . C705 6C5A4D00 0>mov     dword ptr [4D5A6C], 6
004779AB   . 8B85 1CE4FFFF   mov     eax, [ebp-1BE4]
004779B1   . A3 705A4D00     mov     [4D5A70], eax
004779B6   . 8B95 20E4FFFF   mov     edx, [ebp-1BE0]
004779BC   . 8915 745A4D00   mov     [4D5A74], edx
004779C2   . 8B4D F0         mov     ecx, [ebp-10]
004779C5   . 51              push    ecx                 ; /Arg4
004779C6   . 8D86 A5030000   lea     eax, [esi+3A5]      ; |
004779CC   . 50              push    eax                 ; |Arg3
004779CD   . 8D96 8E090000   lea     edx, [esi+98E]      ; |
004779D3   . 52              push    edx                 ; |Arg2 "%s - %s"
004779D4   . 8D8D E0FEFFFF   lea     ecx, [ebp-120]      ; |
004779DA   . 51              push    ecx                 ; |Arg1
004779DB   . E8 4CF20200     call    004A6C2C            ;_sprintf
004779E0   . 83C4 10         add     esp, 10
004779E3   . 8D85 E0FEFFFF   lea     eax, [ebp-120]
004779E9   . 50              push    eax
004779EA   . 8B15 7C3B4D00   mov     edx, [4D3B7C]
004779F0   . 52              push    edx
004779F1   . E8 C87B0300     call    <jmp.&USER32.SetWindowTextA>

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

2.JPG （30.67kb，977次下载）
1.JPG （29.70kb，976次下载）
advancedolly.rar （281.30kb，474次下载）

收藏・9

免费・7

支持

最新回复 (8)
hmilywen 雪币： 1450 活跃值： (848) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 2 楼沙发........... 2009-6-15 14:53 0
wtxpwh 雪币： 48 活跃值： (491) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 3 楼支持！还没有用过这个插件 2009-6-15 15:49 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 4 楼呵呵,谢谢楼主,我以前就为这个插件那个标题感到不爽,现在终解决了 2009-6-15 17:09 0
qazzaqqa 雪币： 149 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	qazzaqqa 5 楼 win7 挂勾注入器模块中出现错误 2010-3-12 13:38 0
xueorujj 雪币： 209 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	xueorujj 6 楼辛苦楼主啦这个应该比较完美了收藏 2010-10-2 22:48 0
boyving 雪币： 2604 活跃值： (1882) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 169 粉丝 0 关注私信	boyving 7 楼很不错，谢谢楼主 2010-10-2 23:01 0
stonevx 雪币： 249 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	stonevx 8 楼加载出错～！自动退出～1 2011-2-18 09:03 0
enlangs 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	enlangs 9 楼标记，感谢楼主。。 2011-2-18 13:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sessiondiy

发帖

3244

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
hmilywen 雪币： 1450 活跃值： (848) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 2 楼沙发........... 2009-6-15 14:53 0
wtxpwh 雪币： 48 活跃值： (491) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 3 楼支持！还没有用过这个插件 2009-6-15 15:49 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 4 楼呵呵,谢谢楼主,我以前就为这个插件那个标题感到不爽,现在终解决了 2009-6-15 17:09 0
qazzaqqa 雪币： 149 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	qazzaqqa 5 楼 win7 挂勾注入器模块中出现错误 2010-3-12 13:38 0
xueorujj 雪币： 209 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	xueorujj 6 楼辛苦楼主啦这个应该比较完美了收藏 2010-10-2 22:48 0
boyving 雪币： 2604 活跃值： (1882) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 169 粉丝 0 关注私信	boyving 7 楼很不错，谢谢楼主 2010-10-2 23:01 0
stonevx 雪币： 249 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	stonevx 8 楼加载出错～！自动退出～1 2011-2-18 09:03 0
enlangs 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	enlangs 9 楼标记，感谢楼主。。 2011-2-18 13:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复