Простой вопрос по OllyDbg.

Тема в разделе "WASM.BEGINNERS", создана пользователем AndjellaArtavazdovna, 11 фев 2012.

  1. AndjellaArtavazdovna

    AndjellaArtavazdovna New Member

    Публикаций:
    0
    Регистрация:
    3 дек 2010
    Сообщения:
    615
    В справке не нашел может кто знает. Нужно сдампить не весь процесс запущенный под OllyDbg, а только одну функу ,например декриптор, и сохранить в файл. Как это сделать?
     
  2. Malfoy

    Malfoy New Member

    Публикаций:
    0
    Регистрация:
    2 янв 2012
    Сообщения:
    698
    Нельзя видимо такое на уровне гуя сделать. Перемещение кода в памяти требует обратной сборки графа, этим олли не занимается.
     
  3. AndjellaArtavazdovna

    AndjellaArtavazdovna New Member

    Публикаций:
    0
    Регистрация:
    3 дек 2010
    Сообщения:
    615
    Жаль, придется значит через binary copy,а дальше текст разбирать. :dntknw:
     
  4. Malfoy

    Malfoy New Member

    Публикаций:
    0
    Регистрация:
    2 янв 2012
    Сообщения:
    698
    Если код IA32, то могу попробовать выпилить.
     
  5. Hellspawn

    Hellspawn New Member

    Публикаций:
    0
    Регистрация:
    4 фев 2006
    Сообщения:
    310
    Адрес:
    Москва
    плагины: code ripper, data change - не то?
     
  6. AndjellaArtavazdovna

    AndjellaArtavazdovna New Member

    Публикаций:
    0
    Регистрация:
    3 дек 2010
    Сообщения:
    615
    Нет CodeRipper не то. Просто нужно сохранить в бинарник в неизменном(!) виде определенную часть экзешника т.е. машкод, а далее с ней уже работать. Видимо все-таки придется потратить немного усилий чтоб разбирать текстовые файлы.
     
  7. Hellspawn

    Hellspawn New Member

    Публикаций:
    0
    Регистрация:
    4 фев 2006
    Сообщения:
    310
    Адрес:
    Москва
    тогда data ripper и я настаиваю на DataChange
     
  8. AndjellaArtavazdovna

    AndjellaArtavazdovna New Member

    Публикаций:
    0
    Регистрация:
    3 дек 2010
    Сообщения:
    615
    Щас посмотрим...
    Я видимо хреново объяснил. В общем из дизасма мне нужно получить не текст тем или иным образом соответствующий коду или данным
    например в формате для masm32 как в CodeRipper, а файл содержащий сам машкод т.е. то же самое что и дамп только
    для одной функции. Нужно просто модифицировать один экзешник при помощи кода второго,причем код перед добавлением в другой
    должен быть слегка отморфлен (мусор). Просто из-за этого разового случая не хотелось писать кодес разбора текстового файла,
    генерируемого DataRipperом.
     
  9. Magnum

    Magnum New Member

    Публикаций:
    0
    Регистрация:
    29 дек 2007
    Сообщения:
    925
    AndjellaArtavazdovna
    Напиши простенький плагин и выложи на форум.
    Форумчане скажут спасибо! )
     
  10. Malfoy

    Malfoy New Member

    Публикаций:
    0
    Регистрация:
    2 янв 2012
    Сообщения:
    698
  11. AndjellaArtavazdovna

    AndjellaArtavazdovna New Member

    Публикаций:
    0
    Регистрация:
    3 дек 2010
    Сообщения:
    615
    Indy
    Оперативно. :) Спасибо большое ,посмотрю.
    Magnum
    Если когда-нибудь возьмусь за написание плагинов для Olly, этот будет первым,обещаю...
     
  12. MMIX

    MMIX New Member

    Публикаций:
    0
    Регистрация:
    9 дек 2011
    Сообщения:
    385
    AndjellaArtavazdovna
    А если бинарную копипасту затолкать в shellcode_converter ?
     
  13. AndjellaArtavazdovna

    AndjellaArtavazdovna New Member

    Публикаций:
    0
    Регистрация:
    3 дек 2010
    Сообщения:
    615
    MMIX
    Спасибо. Сейчас еще посмотрю эту прогу,как - то юзать раньше не приходилось. Но вообще
    уже думаю на будущее что-то более универсальное запилить т.е. что-то вроде морфера фунок ,
    думаю пригодится еще.
     
  14. Malfoy

    Malfoy New Member

    Публикаций:
    0
    Регистрация:
    2 янв 2012
    Сообщения:
    698
    AndjellaArtavazdovna
    Ну как там, помогло ?
     
  15. AndjellaArtavazdovna

    AndjellaArtavazdovna New Member

    Публикаций:
    0
    Регистрация:
    3 дек 2010
    Сообщения:
    615
    Malfoy
    Да, спасибо еще раз.