banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering ghi log giá trị của EIP khi chương trình được thực thi?  XML
  [Question]   ghi log giá trị của EIP khi chương trình được thực thi? 09/08/2014 11:34:33 (+0700) | #1 | 281249
[Avatar]
van7hu
Member

[Minus]    0    [Plus]
Joined: 03/07/2010 02:38:47
Messages: 63
Location: Thuỷ điện Hoà Bình
Offline
[Profile] [PM]
mình muốn log tất cả các giá trị của EIP khi 1 chương trình được thực thi, step-by-step, không biết có plugin nào của Ollydbg hay tools nào thực hiện điều đó không vậy?

mình xin cám ơn.
https://www.facebook.com/buivan.thu.94
Được phục vụ cho tổ quốc, đó là một niềm vinh hạnh lớn lao..
[Up] [Print Copy]
  [Question]   ghi log giá trị của EIP khi chương trình được thực thi? 12/08/2014 20:54:26 (+0700) | #2 | 281278
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
quy nghĩ là chưa có, về lý thuyết thì có thể code 1 plugin làm việc này(nhưng có lẽ sẽ làm chậm trong quá trình run app trong Ollydbg) vì mỗi lần EIP thay đổi thì plugin phải lấy nó và ghi vào file LOG.

Còn nếu chỉ Step Over thì thôi xem luôn trong quá trình trace cho rồi. Cần file LOG này làm gì với lại số lượng của nó sẽ vô cùng khủng.

Quên ý nghĩ này thì có lý hơn.

BR,
quygia128
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Question]   ghi log giá trị của EIP khi chương trình được thực thi? 13/08/2014 00:10:41 (+0700) | #3 | 281280
[Avatar]
van7hu
Member

[Minus]    0    [Plus]
Joined: 03/07/2010 02:38:47
Messages: 63
Location: Thuỷ điện Hoà Bình
Offline
[Profile] [PM]
Mình đồng ý là sẽ rất lớn, nhưng mình được một plugin có vẻ hợp với yêu cầu của mình, nó ghi log tất cả các conditional jump trong step run, cái nào được thực thi và cái nào không. Nó có thể giảm độ lớn của log file, nhưng tốc độ vẫn là cái đáng ngại. Mình đang chạy 2 ngày, log file giờ là 36 MiB.
https://www.facebook.com/buivan.thu.94
Được phục vụ cho tổ quốc, đó là một niềm vinh hạnh lớn lao..
[Up] [Print Copy]
  [Question]   ghi log giá trị của EIP khi chương trình được thực thi? 16/08/2014 22:35:02 (+0700) | #4 | 281327
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Bây giờ quy đang tuởng tượng ra bạn đang muốn làm gì với chức năng này smilie, bạn có thể nói tên plugin đó không ?

Mình sẽ xem và lấy ý tưởng từ plugin đó, có thể code 1 plugin để thử nghiệm. Thành công và đúng theo yêu cầu thì không chắc.

Trước hết cần ý tưởng trước đã.

Bạn đã thử với chức năng Tracing trong OllyDbg chưa ??

Thử với vài link bên dưới:

http://www.woodmann.com/forum/archive/index.php/t-10178.html
http://www.woodmann.com/forum/archive/index.php/t-11550.html
http://www.woodmann.com/forum/showthread.php?9807-Logging-conditional-jumps-plug-in-or-script
http://www.woodmann.com/collaborative/tools/index.php/Conditional_Branch_Logger
http://www.woodmann.com/forum/showthread.php?9807-Logging-conditional-jumps-plug-in-or-script/page2
 


Mong nó có ích cho bạn

BR,
quygia128
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Question]   ghi log giá trị của EIP khi chương trình được thực thi? 17/08/2014 01:47:48 (+0700) | #5 | 281328
[Avatar]
van7hu
Member

[Minus]    0    [Plus]
Joined: 03/07/2010 02:38:47
Messages: 63
Location: Thuỷ điện Hoà Bình
Offline
[Profile] [PM]
Cắm ơn Quy. smilie
https://www.facebook.com/buivan.thu.94
Được phục vụ cho tổ quốc, đó là một niềm vinh hạnh lớn lao..
[Up] [Print Copy]
  [Question]   ghi log giá trị của EIP khi chương trình được thực thi? 17/08/2014 23:35:35 (+0700) | #6 | 281333
[Avatar]
van7hu
Member

[Minus]    0    [Plus]
Joined: 03/07/2010 02:38:47
Messages: 63
Location: Thuỷ điện Hoà Bình
Offline
[Profile] [PM]
À, hôm qua say nên trả lời bài linh tinh rồi, cái plugin mình nói là cái từ forum woodmann đó, mình chỉ đang cảm thấy hơi lạ, ứng dụng của mình đang thử debug load không được bình thường lắm, conditional jump là không giống nhau trong các lần thực hiện chạy.
https://www.facebook.com/buivan.thu.94
Được phục vụ cho tổ quốc, đó là một niềm vinh hạnh lớn lao..
[Up] [Print Copy]
  [Question]   ghi log giá trị của EIP khi chương trình được thực thi? 18/08/2014 11:49:08 (+0700) | #7 | 281335
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Việc nó Jump không giống nhau theo mỗi lần chạy(hoặc sau 1 khoảng thời gian nào đó) là việc bình thường, coder có thể đặt các biến để Detect việc debug/Registering Times/Run Times... của bạn, khi bạn đã vượt qua các thông số đã được quy định thì chường trình sẽ thực hiện theo 1 hướng khác.

VD:

Các chường trình đang trong thời gian Trial, Demo, Standard version... bạn sẽ thấy rõ nhất, khi đã đăng ký(Registered) thì nó sẽ thay đổi dòng chảy của chương để thực hiện các tác vụ, nó dựa vào các "Conditional Jump", mà các "Conditional Jump" này lại phụ thuộc vào 1(nhiều biến) trong chương trình để thực hiện. 


Ta muốn nó "thực hiện" hay "không" thì chị việc tìm các biến(Magic Bytes trong Cr@cking) và set giá trị cho nó, tìm tất cả các "References command" để xem các nó gán giá trị và Magic Bytes (thực hiện patch nếu cần)

Cách tìm các References command" thường theo 2 hướng:

1. Tìm tất cả các "References command" liên quan đến giá trị ta tìm được(Có trong OllyDbg và các trình Debug khác)
2. Đặt Hardware/Memory(Byte/Word/DWord) on Access/Read/Write để tìm thằng nào use/set value đến Magic Byte.

quy chỉ biết nhiêu đó, chia sẽ vậy thôi chứ thực tế để tìm nó và thực hiện theo điều mình muốn là việc hoàn toàn khác smilie

BR,
quygia128
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|