OllyDbg & msr

Тема в разделе "WASM.RESEARCH", создана пользователем TermoSINteZ, 10 янв 2005.

Страница 1 из 3
  1. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    Здаравствуйте уважаемые.

    Вот на днях задался вопросом :

    Ставлю я hardware breakpoint на вызов функции и хочу узнать адрес откуда она была вызвана .

    Как узнать содержимое msr - регистра в OllyDbg (P.S. ^ в сайсе есть команды msr )
     
    TermoSINteZ, 10 янв 2005
    #1
  2. bogrus

    bogrus Active Member

    Публикаций:
    0
    Регистрация:
    24 окт 2003
    Сообщения:
    1.338
    Адрес:
    ukraine
    а) в стек посмотреть б) олли - отладчик юзер модный
     
    bogrus, 10 янв 2005
    #2
  3. Broken Sword

    Broken Sword Robert

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    433
    а) а если оно по jxx б) юзер модный, а в Dr-ы пишет...
     
    Broken Sword, 10 янв 2005
    #3
  4. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    на счет "в стек посмотреть" .. я вот что скажу :

    Я бряк поставил на MessageMap в коде это выглядит так :

    00474BD6 . A1 5C474900 MOV EAX,DWORD PTR DS:[<&MFC42.#4258>] ; PropertyPage::MessageMap()

    а теперь я ставлю бряк и в стеке вижу ФИГУ !

    вот поэтому я и спрашиваю в общем и тему навел про msr то узнать адрес той инструкции которая была до вызава.
     
    TermoSINteZ, 10 янв 2005
    #4
  5. volodya

    volodya wasm.ru

    Публикаций:
    0
    Регистрация:
    22 апр 2003
    Сообщения:
    1.169
    юзер модный, а в Dr-ы пишет...



    Ну дык не напрямую же, а через тучу функций, так что не надо ля-ля. А к MSR доступа из 3-го кольца нет.
     
    volodya, 10 янв 2005
    #5
  6. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    Ну вот видишь - через тучу функций а может и к msr есть доступ через тучу функций а если нет то можно ли как нить узнать в Олли адрус предыдущей инструкции если предыдущая инструкция была гдет ов другом месте кода и тп
     
    TermoSINteZ, 10 янв 2005
    #6
  7. bogrus

    bogrus Active Member

    Публикаций:
    0
    Регистрация:
    24 окт 2003
    Сообщения:
    1.338
    Адрес:
    ukraine




    Так это не вызов ф-ции, а запись в eax, ты попробуй Alt+F1 и что-то вроде bp MFC42.MessageMap, если вылетешь на начале ф-ции, то в стеке и будет адрес вызова (если там конечно хитрых jcc не используется :)
     
    bogrus, 10 янв 2005
    #7
  8. bogrus

    bogrus Active Member

    Публикаций:
    0
    Регистрация:
    24 окт 2003
    Сообщения:
    1.338
    Адрес:
    ukraine




    Читать он читает видимо из CONTEXT STRUCT, а как он в них пишет, что-то не нашел
     
    bogrus, 10 янв 2005
    #8
  9. Broken Sword

    Broken Sword Robert

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    433




    хочешь сказать как-то через переключение контекста?

    какая такая куча функций? например?
     
    Broken Sword, 10 янв 2005
    #9
  10. IceStudent

    IceStudent Active Member

    Публикаций:
    0
    Регистрация:
    2 окт 2003
    Сообщения:
    4.300
    Адрес:
    Ukraine
    Broken Sword

    Так приводили же пример как-то, как те функции (-я) проверяет то, что было выставлено в DRx, чтобы юзер сильно не умничал…
     
    IceStudent, 10 янв 2005
    #10
  11. ECk

    ECk Member

    Публикаций:
    0
    Регистрация:
    9 апр 2004
    Сообщения:
    454
    Адрес:
    Russia
    Можно через ZwSystemDebugControl с кодами

    DebugSysReadMsr = 16

    DebugSysWriteMsr = 17

    Для этого требуются SeDebugPrivilege

    http://www.securitylab.ru/42928.html
     
    ECk, 10 янв 2005
    #11
  12. bogrus

    bogrus Active Member

    Публикаций:
    0
    Регистрация:
    24 окт 2003
    Сообщения:
    1.338
    Адрес:
    ukraine
    Так это ... как увидеть, что олли умеет изменять DRx ? На них Modify нету ...
     
    bogrus, 10 янв 2005
    #12
  13. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    Хм .. а что мешает отладчику создавать свой виртуальный драйвер и получать буквально доступ к 0-му кольцу ?
     
    TermoSINteZ, 10 янв 2005
    #13
  14. Broken Sword

    Broken Sword Robert

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    433
    раз уж такая пьянка пошла - может напишет кто плагин к олли, чтобы по аппаратному бряку выводилось "откуда" и "куда" ?
     
    Broken Sword, 10 янв 2005
    #14
  15. volodya

    volodya wasm.ru

    Публикаций:
    0
    Регистрация:
    22 апр 2003
    Сообщения:
    1.169
    а что мешает отладчику создавать свой виртуальный драйвер



    прикольно. а что такое "виртуальный драйвер"? это такой, который дает "виртуальный доступ", да?
     
    volodya, 10 янв 2005
    #15
  16. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.552
    Адрес:
    Russia
    Наверно :)

    Спроси у Four_F ^)



    Да это я так сказал ... забейте на слово "виртуальный" . Просто не реальный же драйвер которые можно руками пощупать .. вот и я назвал .. а вообще у нас весь инте виртуальный :)
     
    TermoSINteZ, 10 янв 2005
    #16
  17. volodya

    volodya wasm.ru

    Публикаций:
    0
    Регистрация:
    22 апр 2003
    Сообщения:
    1.169
    раз уж такая пьянка пошла - может напишет кто плагин к олли, чтобы по аппаратному бряку выводилось "откуда" и "куда" ?



    у меня есть некоторые принципиальные сомнения... Одно из которых - мне, лично, не совсем понятен механизм сохранения DR между процессами в винде, в особенности, учитывая отсутствие TSS :-\
     
    volodya, 10 янв 2005
    #17
  18. Broken Sword

    Broken Sword Robert

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    433


    у Питрека все расписано по этому вопросу. Есть структура context, которая есть суть программная модель-структура TSS. Есесно, для каждого проца она своя. У меня есть ее формат для x86. Там и DR-регистры и еще много чего
     
    Broken Sword, 10 янв 2005
    #18
  19. volodya

    volodya wasm.ru

    Публикаций:
    0
    Регистрация:
    22 апр 2003
    Сообщения:
    1.169
    Нет такой структуры уже в кольце-0 и Питрек по этому вопросу уже НИЧЕГО не пишет, поскольку в нуле он никогда не копался.

    Однако ты правильно подумал... А я совсем забыл :-/

    Тогда юзайте то, что предложил ECk - хорошая идея.
     
    volodya, 10 янв 2005
    #19
  20. Broken Sword

    Broken Sword Robert

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    433


    да? интересно, куда же сохраняются регистры при переключении контекстов в "кольце-0"
     
    Broken Sword, 10 янв 2005
    #20
Страница 1 из 3