ANTICHAT — форум по информационной безопасности, OSINT и технологиям

2ProTeuS
эммм, меня видимо не так поняли. Мне интересно почему так происходит.

ProTeuS нада взять посл версию плага, за мемори бряки отвечает "custom handler ...", если что её можно просто оффнуть. падать ничего не будет.

izlesa какие ещё плагина установлены? какая сборка ольги используется?

Олли 1.10 - оригинальная, не сборка )
Плагины - CommandBar, HideDebugger.
Больше ничего.

ЗЫ необратил внимание раньше. Экзепшен вылетает за несколько команд до перехода на OEP.

Соответственно в eax оказывается левый адрес, находящийся в секции заголовка PE - 0100020F

AND BYTE PTR DS:[EAX],7F <-здесь экзепшен
AND BYTE PTR DS:[EAX+28],7F
POP EAX
PUSH EAX
PUSH ESP
PUSH EAX
PUSH EBX
PUSH EDI
CALL EBP
POP EAX
POPAD
LEA EAX,DWORD PTR SS:[ESP-80]
PUSH 0
CMP ESP,EAX
JNZ SHORT calc.01020E92
SUB ESP,-80
JMP calc.01012475 <- jmp OEP

Если надо выложу скрин.

попробуй на голой ольге, без всего... что из ав/фаеров стоит?
так на всех пакованных прогах? или только на упх-ых?

2Hellsp@wn
пробовал. Не влияет. Как и аверы с фаером.
Вот коечто нашёл в хелпе к Олли.

"Memory breakpoint ... To set this breakpoint,OllyDbg changes attributes of memory blocks containing selection. On 80x86-compatible processors memory is allocated and protected in chunks of 4096 bytes. If you select even single byte, OllyDbg must protect the whole block. This may cause plenty of false alarms with huge overhead. Use this kind of breakpoint with care. Some system functions (especially under Windows 95/98) cause debugged program to crash instead of generating debugging event when accessing protected memory. ..."

Но если руководствоватся хелпом, то не понятно то что появляется в eax (см предыдущий пост) - глюк Олли или реально так происходит ...

гым, но это ведь известная штука должна быть. Везде в статьях посвешённых распаковке с использованием Олли применяется хардварный бряк hr esp-4
Хотя по конечным действиям можно было бы применять memory break ...

ЗЫ и как кстати дебаггер 3 кольца может менять секьюрити аттрибуты (из хелпа, ктр привёл выше) страниц? o___0

ЗЫЫ Чтото мне кажется, что я напрягаю ^_____^

как раз таки влияет не у одного тебя мемори бряки тупили и в основном причины были в винде/ав/фаере. как вариант ставь виртуалку, туда хрюшу и юзай на здоровье.
з.ы. винда какая?

проверял на двух машинах

winxp SP2, AV: Nod32 v2.7, FW: None
winxp SP3, AV: PC Tools, FW: None

одна фигня ) в том числе при отключеных АВах.
счас ещё аспак поковыряю, скажу как там бряки на память стековую ставить. Мне в принципе не парит использование хардварных бряках, да и чтото на эту тему у Нарвахи в его туторах было.

Причём в других прогах бряки на стековую память работают нормально. Просто какоето непонятное стечение объстоятельств ...
---------

нда, с аспаком тоже самое, access violation, теперь в edi лажа при цепочечной команде.
А у вас бряки на доступ к стековой памяти при распаковке работают или это у мну баги(я надеюсь хотя бы не в голове ^_____^)?

Проблема с BinDiff
Запускаю IDA, запускаю плагин, выбираю вторую базу. Запускается скрыто второй процесс IDA и начинает потихоньку кушать память. Доедает до 2 с лихим Гб
Потом выдает abnormal program termination и как результат - отсутствие какого либо результата
Самое что печальное что об этом прямо сказано в readme - мол большие базы сравнивать не буду. Как быть? Чем пользоваться в такой ситуации