Autor
|
Tema: Ollydbg me engaña (Leído 3,115 veces)
|
lapras
|
Resulta que en dump en la direccion 7C800000h me pone 4D5Ah('MZ') pero resulta que si hago MOV WORD AX, [7C800000] me pone en AX otra cosa ¿Por que pasa esto? ¿Me esta olly siendo infiel?
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
No se si es el caso, pero la instruccion seria: MOV AX, WORD PTR [7C800000]
Sera por eso?? PD: Esa sección, no es de una DLL del sistema?? Que estas tratando de hacer??
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
lapras
|
Insertar Cita No se si es el caso, pero la instruccion seria: Código: MOV AX, WORD PTR [7C800000] Si bueno es lo mismo al fin y al cabo pero el problema esque pone en el dump una cosa y luego mueve a eax otra cosa. Si, es una dll del sistema kernel32, solo estaba juagando un poco y probar
|
|
|
En línea
|
|
|
|
apuromafo CLS
|
no creo que te engañe del todo, el tamaño del registro que estas moviendo es bastante pequeño (16bytes el registro ax, ah, al, ) en cambio el registro EAX, es de 32bytes
si es por comando te sugiero que hagas un lea (en vez de mov), o un cmp dword prt ss:[offset],4D5Ah je lugar
y asi vas comparando si realmente vas viendo eso.. con ax, no creo que resulte por almacenar esos bytes
si no me crees, coloca mov eax, 7c800000 cmp ax,0 cmp al,0 cmp ah,0
y luego matas la duda cuando ves los registros en vivo en comparacion.
supongo que estas usando ollydbg cierto?.. ///
|
|
|
En línea
|
Apuromafo
|
|
|
lapras
|
Jaja vale ya se por que es... resulta que tenia en esa direccion un breakpoint y los breakpoints modificanel codigo y lo substituyen por CCh. Para solocionarlo puse un hardware breakpoint Si, como indica el titulo estoy usando olly Gracias
|
|
|
En línea
|
|
|
|
|
|