повернуть программу вспять...

А вообще это реально. Спросите, зачем? Так просто.
Вообще возможно ли во время исполнения программы модифицировать её EIP.

 

Tid0Wlas
call offset
ret

 

Отладчики так и делают вроде...

 

Tid0Wlas
Размер инструкций сложновато будет считать. Если конечно не одну инструкцию выполнять, а целый блок.

 

"Нет сынок, это фантастика" (с) ))
EIP изменить можно (call,jmp,SEH,SetThreadContext), но вот как быть с измененными данными, выделенной динамиической памятью, открытыми\созданными хэндлами и т.п.

 

leo

handle = INVALID_HANDLE_VALUE;
CloseHandle(handle)
if (handle != INVALID_HANDLE_VALUE)
{
}
CreateFile(---)
if (handle != INVALID_HANDLE_VALUE)
{
}
if (handle!=)
CloseHandle(handle)
handle = INVALID_HANDLE_VALUE;

 

Booster
Угу, а как, например, WriteFile откатить ?

 

А как откатить генерацию ключа RSA с последующим затиранием чисел P и Q?

В общем, теоретически осуществимо, но на практике объем вычислений будет расти экспоненциально.

 

я так понял, что имелось ввиду просто обратное выполнение кода, а не восстановление данных и т.д.

 

тотальный вариант VMware 6+ Record & Replay, простые куски можно в трэйсере ольки оборачивать

 

MSoft

При обратном выполнении кода нужно перед каждой инструкцией восстанавливать контекст, существовавший на момент ее исполнения, иначе можно нарваться на кучу исключений
Простейшие примеры:
1) mov eax,[eax] //если новый [eax] - не валидный указатель, то в обратную сторону - облом
2) fstp st0 //если стек FPU очищен, то в обраьную сторону - облом
3) div ecx + xor ecx,ecx //аналогично
и т.д. и т.п.
А с ветвлениями вообще не понятно что - если мы находимся на метке перехода, то фиг знает откуда мы сюда попали и фиг знает куда попадем, если просто идти по последовательным адресам

 

А, вообще, дзенно... повернуть время вспять. Но увы и ах, [added] автоматическое движение instruction pointer'а строго в сторону увеличения. Может введут аналог std для ip.)

 

leo
ты прав, об этом я как-то не думал

 

Бред, конечно, но теоретически выполняется программа в прямом направлениии с заходом по всем условным веткам, с пошаговым запоминанием, а потом откат

 

Даже простое пошаговое исполнение программы замедляет ее на много порядков. А количество запоминаемых данных будет очень быстро расти (на каждую инструкцию - от 4 байт и более). Так что возможно только для очень коротких участков. Кстати, был бы неплохой плагин для дебаггера.

 

в конце-концов придумали Reverse Engineering.

 

А плагин для OllyDbg действительно было бы круто иметь.

 

? а можно ли создать процесс который будет уменьшать eip указанной программы без её патча.

 

ну отладчик же так может. Просто надо автоматизировать этот процесс. Но опять-таки, на сколько уменьшать??? Как ты узнаешь размер предыдущей инструкции? не говоря уже про условные переходы. А просто модифицировать EIP - как 2 байта переслать. Пример - тут вчера создали топик о проблеме изменения контекста - в нем посмотри

 

К примеру волшебной командой jmp