OllyDbg перестал показывать View references.

neutronion · 11 апр 2010

Привет, форумчане!
Пользуюсь OllyDbg захожу в IAT распакованной программы и выделяю адрес импортированной
функции в дампе, правой кнопкой - выбираю View references и в окне references ноль функций,
хотя они присутствуют в программе. Раньше показывал, сейчас перестал.
Не знаете, что за баг может быть? Как исправить?
Скрин прилагаю

Clerk · 11 апр 2010

neutronion
Удалите *udd соответствующий, либо измените формат отображения данных.

neutronion · 11 апр 2010

удалял после загрузки. удалял до. Ничего не изменилось. По прежнему не хочет показывать
референсы. Пакет Олли приложил.

neutronion · 11 апр 2010

с форматом отображения не совсем понял. Нех 16байт

neutronion · 11 апр 2010

Скачал Олю c wasm результат тот же. Видимо, что-то в системе изменилось. Попробую на
виртуальной машине запустить.

neutronion · 11 апр 2010

На виртуалке та же беда.
Это же приложение не запакованное upx, показывает View references.
Паковал UpxGui.exe версия файла 1.7.0 версия программы 3.2.00

Clerk · 11 апр 2010

neutronion
А ссылки есть вобще ?
Если есть загрузка адреса непосредственно, тогда Ctrl+B. Если ищется Call near, то тут проблемно. Нужно либо выделить весь код, а затем Analysis -> During next.. -> Command, либо если версия старше то Remove Analysis. Если не поможет, попробуйте идой. Если и она не поможет - писать парсер самому, там не сложно, просто память просканить.

neutronion · 11 апр 2010

Понял, будем пробовать. Спасибо.

l_inc · 11 апр 2010

Clerk

А ссылки есть вобще ?
Нажмите, чтобы раскрыть...

Конечно, они есть.

Если ищется Call near, то тут проблемно.
Нажмите, чтобы раскрыть...

На самом деле ищется jmp near. Только абсолютный косвенный, а не относительный. И с этим никаких проблем нет.
neutronion
Ясно дело, что Olly не находит ссылку, т.к. она находится согласно заголовку PE в некодовой секции. А Olly ищет ссылки только там. Если поменяете поля SizeOfCode и BaseOfCode таким образом, чтобы захватывались обе секции, то Olly опознает первую секцию кодовой и будет искать ссылки и там.
А Clerk... у него просто некачественная кофейная гуща.

Clerk · 11 апр 2010

l_inc
Видимо вы никогда не разбирали код в не модулей, либо криптованные модуля(накрытые всяким г_уаном) :P

l_inc · 11 апр 2010

Clerk
Видимо, Вы ещё не поняли, что речь идёт о конкретном (с точностью до параметров упаковки) бинарнике.

neutronion · 11 апр 2010

l_inc сказал(а):

Clerk

А ссылки есть вобще ?
Нажмите, чтобы раскрыть...

Конечно, они есть.

Если ищется Call near, то тут проблемно.
Нажмите, чтобы раскрыть...

На самом деле ищется jmp near. Только абсолютный косвенный, а не относительный. И с этим никаких проблем нет.
neutronion
Ясно дело, что Olly не находит ссылку, т.к. она находится согласно заголовку PE в некодовой секции. А Olly ищет ссылки только там. Если поменяете поля SizeOfCode и BaseOfCode таким образом, чтобы захватывались обе секции, то Olly опознает первую секцию кодовой и будет искать ссылки и там.
Нажмите, чтобы раскрыть...

Браво!!! Изменил как вы и говорили, и сохранил изменения в экзешник, снова запустил
в Ольке, и все заработало!
До этого пытался просто изменить на точке входа(перед распаковкой) ничего не вышло.
(ленивый вариант).
Огромное спасибо. Clerk'y тоже за участие не меньшее спасибо.

neutronion · 11 апр 2010

Срин приложил

Войти или зарегистрироваться

OllyDbg перестал показывать View references.

neutronion New Member

Clerk Забанен

neutronion New Member

neutronion New Member

neutronion New Member

neutronion New Member

Clerk Забанен

neutronion New Member

l_inc New Member

Clerk Забанен

l_inc New Member

neutronion New Member

neutronion New Member

Войти или зарегистрироваться

OllyDbg перестал показывать View references.

neutronion New Member

Clerk Забанен

neutronion New Member

neutronion New Member

neutronion New Member

neutronion New Member

Clerk Забанен

neutronion New Member

l_inc New Member

Clerk Забанен

l_inc New Member

neutronion New Member

neutronion New Member

Быстрый поиск