OllyDbg Tutorial?

09/08/2010 20:37 Nulpe123#1

Hey,

ich w�rde mal gerne wissen, ob jemand von euch ein OllyDbg Tutorial kennt, in dem gezeigt wird wie man Prozessfunktionen findet ohne den Namen dieser zu kennen. Ich habe nach langem googlen leider nur Tutorials gefunden, in denen der Name schon als bekannt vorausgesetzt haben...

Das Tutorial sollte nach m�glichkeit ein Video Tut sein, da ich finde, dass man so am besten lernt. Sollte es andere (bessere?) M�glichkeiten geben als OllyDbg, so w�rde ich mir das auch anschaun.

MfG Nulpe123

09/08/2010 21:47 nXu#2

Hi,

es ist zwar englisch, trotztem ist es die beste, was ich gesehen habe:
[Only registered and activated users can see links. Click Here To Register...]

09/08/2010 23:31 MrSm!th#3

Nunja, das kommt immer auf die Situation an.
Ist es eine Funktion, die sichtbare Ver�nderungen zeigt (zb. einen Dialog erstellt, dass man ein Programm nicht registiert hat), dann kann man API Funktionen als Anhaltspunkt nutzen, um sie zu finden.
Wenn man wei�, dass sie in einen gewissen Speicherbereich schreiben oder von da lesen, kann man sie mit nem Hardware Breakpoint on Access aufsp�ren und wenn man wei�, dass eine gewisse Abfolge von Befehlen darin vorkommt, kann man Pattern Search anwenden.
Es gibt sicherlich ein paar mehr Wege, jedenfalls gibt es kein Patentrezept, um sie zu finden, schon gar nicht, wenn man nichtmal ann�hernd wei�, wie sie das machen, was sie machen, sodass man keine Anhaltspunkte nutzen kann.

Dass es daf�r ein Tutorial gibt, bezweifle ich, auch wenn die oben genannten Tutorials von Lena nat�rlich ein ganz guter Start in die Grundlagen ist; den Rest lernt man mit der Erfahrung.

09/10/2010 23:28 Mr0x90#4

Quote:

Originally Posted by MrSm!th

Nunja, das kommt immer auf die Situation an.
Ist es eine Funktion, die sichtbare Ver�nderungen zeigt (zb. einen Dialog erstellt, dass man ein Programm nicht registiert hat), dann kann man API Funktionen als Anhaltspunkt nutzen, um sie zu finden.
Wenn man wei�, dass sie in einen gewissen Speicherbereich schreiben oder von da lesen, kann man sie mit nem Hardware Breakpoint on Access aufsp�ren und wenn man wei�, dass eine gewisse Abfolge von Befehlen darin vorkommt, kann man Pattern Search anwenden.
Es gibt sicherlich ein paar mehr Wege, jedenfalls gibt es kein Patentrezept, um sie zu finden, schon gar nicht, wenn man nichtmal ann�hernd wei�, wie sie das machen, was sie machen, sodass man keine Anhaltspunkte nutzen kann.

Dass es daf�r ein Tutorial gibt, bezweifle ich, auch wenn die oben genannten Tutorials von Lena nat�rlich ein ganz guter Start in die Grundlagen ist; den Rest lernt man mit der Erfahrung.

seconded.
[Only registered and activated users can see links. Click Here To Register...]
+
wenn du nen drawhook oder so suchst, kannst du davon ausgehen, dass die drawing routine immer strlen oder sowas called. wenns breakt musst du nurnoch vom stack zur�cktracen
([Only registered and activated users can see links. Click Here To Register...])