Register for your free account! | Forgot your password?


Go Back   elitepvpers > Coders Den > General Coding
You last visited: Today at 06:52

  • Please register to post and access all features, it's quick, easy and FREE!

Advertisement



Reverse Engineering

Discussion on Reverse Engineering within the General Coding forum part of the Coders Den category.

Reply
 
Old   #1
 
elite*gold: 0
Join Date: Apr 2010
Posts: 498
Received Thanks: 88
Reverse Engineering

Hey,
German:
English:




Tutorial:

Some Pics





Solved:

1.Open the Messagebox that gives a Error
2.Press Pause in Ollydbg
3.[Alt]+[K]
4. Now you also can jump to the code of the messagebox
5. Set a breakpoint
6. Press Running program
7. Open again the Messagebox and Ollydbg will stop the program at the breakpoint u set
8. Follow the code in Ollydbg with [F8]
9. Be a happy (wo)man.





I still dont know how Lena151 was doing it: Still need your help because i still want to know it
maffinpower is offline  
Old 09/03/2016, 22:10   #2
 
elite*gold: 100
Join Date: Apr 2008
Posts: 868
Received Thanks: 1,361
Die Meldung wird durch einen CALL auf USER32.MessageBoxA ausgelöst. Eigentlich sollte "execute till user code" das Programm solange laufen lassen, bis der EIP (also die aktuell ausgeführte Anweisung) nicht mehr eine Systembibliothek des Betriebssystems zeigt.

Ich verwende diese Funktion nur selten, aus dem einfachen Grund: Sie buggt. Naja, es ist kein richtiger Bug:
Programme, gerade die mit Fenster, haben oftmals mehrere Threads. Execute till usercode führt nur einen Thread fort, alle anderen bleiben suspendiert.
d.H. Mit ein wenig Glück, hast du den falschen Thread fortgeführt, dann ist klar, dass quatsch raus kommt. Entweder es breakt random an einer anderen Stelle oder es break garnicht, weil der entsprechende Thread pausiert ist und nichts passiert.

Einfach mal schauen ob der Thread der main thread ist:


und ggf. über die Threadansicht umschalten:


Das ist vermutlich der Fehler. Falls nicht, zeig mal mehr Assembly, dass man in ungefähr deuten kann an welcher Stelle er da breakt.

Gruß
florian0
florian0 is offline  
Thanks
1 User
Old 09/06/2016, 00:05   #3
 
elite*gold: 0
Join Date: Apr 2010
Posts: 498
Received Thanks: 88
Quote:
Originally Posted by florian0 View Post
Die Meldung wird durch einen CALL auf USER32.MessageBoxA ausgelöst. Eigentlich sollte "execute till user code" das Programm solange laufen lassen, bis der EIP (also die aktuell ausgeführte Anweisung) nicht mehr eine Systembibliothek des Betriebssystems zeigt.

Ich verwende diese Funktion nur selten, aus dem einfachen Grund: Sie buggt. Naja, es ist kein richtiger Bug:
Programme, gerade die mit Fenster, haben oftmals mehrere Threads. Execute till usercode führt nur einen Thread fort, alle anderen bleiben suspendiert.
d.H. Mit ein wenig Glück, hast du den falschen Thread fortgeführt, dann ist klar, dass quatsch raus kommt. Entweder es breakt random an einer anderen Stelle oder es break garnicht, weil der entsprechende Thread pausiert ist und nichts passiert.

Einfach mal schauen ob der Thread der main thread ist:


und ggf. über die Threadansicht umschalten:


Das ist vermutlich der Fehler. Falls nicht, zeig mal mehr Assembly, dass man in ungefähr deuten kann an welcher Stelle er da breakt.

Gruß
florian0
Danke für die bemühte Antwort. Das Picture was du bei mir siehst, kommt anscheinend immer sobald ich auf Pause drücke. Ich lande IMMER dann an der selben Stelle -irgendwo im nirgendwo wie man so schön sagt. Liegt das evtl. daran, dass ich 64x nutze?
Ein weiteres Pic würde nicht viel nützen da so gut wie gar nichts gezeigt wird der Zeiger auf welcher auf die aktuelle Adresse zeigt verschwindet falls man ihn manuell mit F8 betätigt. Nach dem man das Programm auf Running gestellt hat springt es sofort zurück zu der vorherigen "Aktion".
maffinpower is offline  
Old 09/06/2016, 00:55   #4
 
elite*gold: 100
Join Date: Apr 2008
Posts: 868
Received Thanks: 1,361
Quote:
Originally Posted by maffinpower View Post
Danke für die bemühte Antwort. Das Picture was du bei mir siehst, kommt anscheinend immer sobald ich auf Pause drücke. Ich lande IMMER dann an der selben Stelle -irgendwo im nirgendwo wie man so schön sagt. Liegt das evtl. daran, dass ich 64x nutze?
Das er nicht in der ntdll breakt, sondern in der user32, ist nicht weiter schlimm. Bei mir breakt er auch in der user32.dll. Mir ist auch gerade aufgefallen, dass die Adressen von deinem und meinem Screenshot identisch sind (Hätt ich ja auch mal früher drauf kommen können ...).

Ich nutze Win7 Pro x64, da funktioniert es in diesem Fall. Allerdings nur mit OllyDBG 2, mit der 1er hab ichs trotz 64bit Patch nicht mal gestartet bekommen.

Welche Version verwendest du?
florian0 is offline  
Thanks
1 User
Old 09/06/2016, 19:45   #5
 
elite*gold: 0
Join Date: Apr 2010
Posts: 498
Received Thanks: 88
Quote:
Originally Posted by florian0 View Post
Das er nicht in der ntdll breakt, sondern in der user32, ist nicht weiter schlimm. Bei mir breakt er auch in der user32.dll. Mir ist auch gerade aufgefallen, dass die Adressen von deinem und meinem Screenshot identisch sind (Hätt ich ja auch mal früher drauf kommen können ...).

Ich nutze Win7 Pro x64, da funktioniert es in diesem Fall. Allerdings nur mit OllyDBG 2, mit der 1er hab ichs trotz 64bit Patch nicht mal gestartet bekommen.

Welche Version verwendest du?
Ich verwende Ollydbg v1.10, falls dir das weiter hilft. Hab Ollydbg direkt von Olldbg.de runtergeholt ist ja die neuste dachte ich mir also die beste ;x.
maffinpower is offline  
Old 09/06/2016, 19:56   #6
 
elite*gold: 50
Join Date: Sep 2012
Posts: 3,842
Received Thanks: 1,462
2.01 ist die neuste.

Empfehle dir aber x64dbg

der ist viel besser und moderner
YatoDev is offline  
Thanks
3 Users
Old 09/06/2016, 20:57   #7
 
elite*gold: 100
Join Date: Apr 2008
Posts: 868
Received Thanks: 1,361
Auf ollydbg.de gibts die 1.10er und die 2.01er, musst nur die richtige auswählen.

Quote:
Originally Posted by »FlutterShy™ View Post
2.01 ist die neuste.
Empfehle dir aber x64dbg
der ist viel besser und moderner
Das stimmt. Ist vielleicht nicht das Klügste, als "Anfänger" ein Tutorial mit einem anderen Programm zu machen. Aber x64dbg bedient sich fast genau so wie OllyDBG, von daher sollte es nicht all zu schwer sein. Du kannst ja die ersten Teile von Lena's Tuts parallel mit x64dbg machen und schauen ob du zurecht kommst.
florian0 is offline  
Thanks
1 User
Reply


Similar Threads Similar Threads
Looking for some reverse engineering help
12/19/2014 - Main - 3 Replies
I am looking for someone with knowledge in reverse engineering and creating a full emulator of Reel Deal Casino Live. I believe the task should be relatively simple but we shall see. I know it's not a well known game but its an online 3D casino world.
[Help] Getting into ASM/reverse engineering
12/11/2014 - SRO Private Server - 0 Replies
delete this topic please, found what I asked for.
[Buying] Reverse engineering
06/25/2014 - Coders Trading - 1 Replies
Hello everybody, I am searching for a reverse engineer+coder to help me out with something. We're paying a good amount of money if you're able to do the job. For more information PM me or add me on skype : jaxallods Thanks, - Jax
Reverse Engineering
05/26/2014 - General Coding - 5 Replies
Guten Tag, wollte mich in nächster Zeit mal mit Reverse Engineering beschäftigen. Kann mir jemand ein gutes Buch zu dem Thema empfehlen? MfG
[Help]Reverse Engineering
08/23/2011 - Private Server - 0 Replies
Hello Guys , I will not take much time from you . let me get to the story fast , me and other 300 player were playing online game which is closed now with no reason { You Can Check That } . Well We Tried To Find/Buy The Server Files But With No Good . Someone Told Me You Can Make An Emu Or Something Like That From The Game Client If You Are Pro In reverse engineering And Other Said You can Make One If You Are Pro Mysql And Got The Oldest Version Of The Game . Well I Hope Someone Can Tell Me...



All times are GMT +2. The time now is 06:52.


Powered by vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Terms of Service | Abuse
Copyright ©2021 elitepvpers All Rights Reserved.