2
我需要Ollydbg的暫停時,寄存器中包含特定字符串。任何方式,我可以做到這一點?Ollydbg的條件
A
回答
3
我不清楚地瞭解你。你完全無法在一個寄存器中加載字符串:)你可以在加載數據上設置一個斷點。例如 - >你的價值「祝你有美好的一天!」,在這個地址上設置一個BP。每當裝入字符串時,Olly都會中斷。否則我無法理解你的問題。
但仍然在這裏一點點的教程。
首先我裝我的PE文件,並發現了一個字符串「GAMMA」它的配置創建PROGRAMM的onlinegame。
http://img7.imagebanana.com/img/hu6kg56k/findstr.png
現在,讓我們發現它在轉儲。雙擊參考文獻中的「GAMMA」,現在我們就是disasm窗口,雙擊PUSH或在轉儲部分中執行並轉到字符串表達式。選擇你的字符串並設置一個像下面這樣的硬件。
http://img7.imagebanana.com/img/pejyx72i/bp.png
按下F9鍵或在奧利頂部的播放按鈕,我們打破在那裏我們的串裝在第一點。當然,如果你想找到一個特定的地方,你必須邁出一步,直到你找到你的觀點。
http://img6.imagebanana.com/img/f7w15fr6/hwbp1.png
編輯:
您可以跟蹤代碼F7,看的時候串從棧調用。
1
您使用的是什麼版本的OllyDbg?
你有沒有試過版本2.0?它有一些條件檢查可以幫助你(儘管我不確定OllyDbg是否可以觀看特定的註冊表)。
Trace -> Set condition...
1
嘗試OllyStepNSearch
它給你一個簡單的方法,使調試停止時,寄存器中的一個具有特定的字符串
0
右擊你的密碼,然後選擇
搜索>所有intermodular調用
找的RegQueryValueEx或RegCreateKeyEx功能。他們在ADVAPI32.DLL
你應該知道哪些參數設置字符串寫入。
看這裏:https://msdn.microsoft.com/en-us/library/windows/desktop/ms724875%28v=vs.85%29.aspx
相關問題
- 1. ollydbg插件
- 2. 與OllyDbg的
- 3. IMUL OllyDbg的乘法
- 4. OllyDbg調色板
- 5. Ollydbg的指令程序
- 6. 在win7上的OllyDbg 64位
- 7. ollydbg v2中的追溯
- 8. OllyDBG,按照呼叫功能
- 9. Ollydbg評論專欄 - win32 api
- 10. ollydbg操作碼跟蹤
- 11. Ollydbg的未知的標識符錯誤
- 12. OllyDbg的 - 兩個關於插件的小白問題
- 13. ollydbg中的引用是什麼意思?
- 14. ollydbg運行後的入口點更改
- 15. 如何理解ollydbg的註冊窗口?
- 16. 如何更改ollydbg中EIP的值?
- 17. OllyDbg,不要複製到可執行文件的選項
- 18. OllyDbg將二進制反彙編到哪個版本的組件?
- 19. 我如何在ollydbg中看到dll文件的功能?
- 20. 無法用Ollydbg打開解壓縮的文件
- 21. 如何將內存轉儲到Ollydbg中的原始文件?
- 22. Ollydbg「在ntdll的單步事件 - 按shift + f8傳遞執行....」?
- 23. 可以OllyDbg跟蹤一個已啓動的exe文件嗎?
- 24. 有什麼辦法可以用OllyDbg調試.COM文件嗎?
- 25. 從Assembly調用DLL?派息。 Ollydbg
- 26. 如何打破ollydbg調試器?
- 27. 在OllyDbg中加載Windows符號
- 28. ollydbg在Windows 8.1中工作嗎?
- 29. OllyDbg和WinDbg有什麼區別?
- 30. Ollydbg反向工程IP地址
寄存器通常不包含字符串。你的意思是;當寄存器包含指向某個字符串的地址時? – 2009-12-09 16:19:38
是啊,我知道:)是的,我的意思是,當寄存器包含特定字符串的地址,要準確。 – samulisoderlund 2009-12-09 18:00:08