OllyDbg чудит

Тема в разделе "WASM.ASSEMBLER", создана пользователем bug1z, 29 янв 2012.

  1. bug1z

    bug1z New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2008
    Сообщения:
    228
    Вечер добрый.
    Поставил OllyDbg 2.01(alpha 4) на Windows7 x64
    И сей час наблюдаю ее странное поведение.

    Скомпилировал программу:

    Код (Text):
    1. ;a =   (b^2-(c+1)*d)/b
    2.  
    3. ;--------------------------------------------------------------------------------
    4. .386
    5. .model flat, stdcall
    6. ;--------------------------------------------------------------------------------
    7. option casemap: none
    8. ;--------------------------------------------------------------------------------
    9. include C:\masm32\include\windows.inc
    10. include C:\masm32\include\kernel32.inc
    11. include C:\masm32\include\user32.inc
    12.  
    13. includelib C:\masm32\lib\kernel32.lib
    14. includelib C:\masm32\lib\user32.lib
    15. ;--------------------------------------------------------------------------------
    16. .data?
    17.     aVariable           DWORD           ?
    18.     bVariable           DWORD           ?
    19.     cVariable           DWORD           ?
    20.     dVariable           DWORD           ?
    21. ;--------------------------------------------------------------------------------
    22. .code
    23.     entry:
    24.    
    25.         mov [bVariable], 4
    26.         mov [cVariable], 3
    27.         mov [dVariable], 2
    28.        
    29.         push [bVariable]
    30.        
    31.         mov eax, [bVariable]
    32.         mul [bVariable]
    33.         mov [bVariable], eax
    34.        
    35.         inc [cVariable]
    36.        
    37.         mov eax, [dVariable]
    38.         mul [cVariable]
    39.         mov [dVariable], eax
    40.        
    41.         mov eax, [bVariable]
    42.         sub eax, [dVariable]
    43.        
    44.         pop [bVariable]
    45.         div [bVariable]
    46.        
    47.         mov eax, [bVariable]
    48.         mov [aVariable], eax
    49.    
    50.     end entry
    51. ;--------------------------------------------------------------------------------
    Скормил ее отладчику. И вижу вот что:
    [​IMG]

    Откова там взялся этот джамп и как от этого избавиться.
    Протрейсить программу можно только если поставить бряк на следующую инструкцию и нажать F9. Но это как то не удобно.

    Заранее благодарен.
     
  2. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    bug1z
    Это не OllyDbg чудит. Это кто-то посторонний прыгает в свою dll. Среди антималварной индустрии я ещё такой наглости не видел, поэтому, вероятно, кто-то с другой стороны баррикад.
     
  3. bug1z

    bug1z New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2008
    Сообщения:
    228
    Из ПО антималварной индустрии установлен только Comodo Firewall.
    Выключил его, перекомпилировал программу - не помогло.
    Загрузил в олли другую, не свою, программу - тоже этот джамп.
    Получается, что все заражено. Буду сканировать систему. Спасибо за помощь.
     
  4. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    bug1z
    Лучше посмотрите, в какую dll прыжок-то.
     
  5. bug1z

    bug1z New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2008
    Сообщения:
    228
    Погуглил по этой проблеме. Как оказалось, она есть у всех, у кого стоит комодо. Все таки это он.
     
  6. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    bug1z
    Нечего сказать, изысканные у них техники.
     
  7. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Патч АП - негодны (с)
     
  8. valentin_p

    valentin_p New Member

    Публикаций:
    0
    Регистрация:
    11 фев 2011
    Сообщения:
    382
    это спай-ай (~80%)
    алсо комод таких вещей у меня не делает)
     
  9. bug1z

    bug1z New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2008
    Сообщения:
    228
    Это был комодо. Удалил его - и джамп пропал.
     
  10. valentin_p

    valentin_p New Member

    Публикаций:
    0
    Регистрация:
    11 фев 2011
    Сообщения:
    382
    bug1z
    странно) у меня 7x32 таких эффектов не наблюдается
     
  11. bug1z

    bug1z New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2008
    Сообщения:
    228
    Думается, что это от настроек зависит. У меня был выставлен режим чуть менее, чем параноидальный :)
     
  12. valentin_p

    valentin_p New Member

    Публикаций:
    0
    Регистрация:
    11 фев 2011
    Сообщения:
    382
    на параноидальном. 2 варианта
    - у нас разные версии
    - под x64 нет драйверов))
     
  13. LMaster

    LMaster New Member

    Публикаций:
    0
    Регистрация:
    31 янв 2010
    Сообщения:
    14
    Сталкивался с такой проблемой. Это COMODO (м.б. это их защита от переполнения буфера, что указана в настройках?).