http://www.wasm.ru/article.php?article=ollydbg20 Собсна, возникла пара вопросов, которые никак не могу решить: 1. Как поставить BPM ON ACCESS на PID процесса ? 2. Почему (в конкретном примере) высвечивается коммент PSAPI EnumProcessModules [это вроде не комент автора, а программа опредила...так?] 3. И последний момент: "Здесь нужно прояснить одну вещь: когда запрашиваем логические номера модулей, система возвращает нам адресную базу, или откуда начинается указанный процесс в памяти. В данном случае нам было возвращёно 400000, так как именного отсюда начинается процесс OllyDbg". ... В том примере вернулся адрес 00 00 40 00,или 400000 по адресу в памяти 12FDA8.В моём адресе(адреса различаются,у меня был такой - 13FDA8,но суть от этого не меняется)).И там же был якобы *адрес* - 10 00 00 00. Где я ошибся ? Ведь всё делал как написано (). К той статье прилагается крекми DaXXor, с ним и работал) P.S. Надеюсь на вашу помощь ))
Welemir 1) Там вроде все написано как ставить Break Point on Memory(BPM) on Access Единственно не перевели на русский - останов по доступу к ячейке памяти. Но есть описание Олли на русском. Pid появляется уже в момент останова. 2) Комменты высвечивает сама Олли. В ней зашиты многие функции и описания их параметров. 3) 400000 - это адрес для экзешников. По адресу 10000000 грузятся DLL, но есть всякая экзотика - например Notepad грузится по 01000000 Адрес ячейки стека зависит от многих условий, тем более там список был ...
