Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: lapras en 3 Septiembre 2010, 17:42 pm



Título: Ollydbg me engaña
Publicado por: lapras en 3 Septiembre 2010, 17:42 pm
Resulta que en dump en la direccion 7C800000h me pone 4D5Ah('MZ') pero resulta que si hago MOV WORD AX, [7C800000] me pone en AX otra cosa ¿Por que pasa esto? ¿Me esta olly siendo infiel? :(


Título: Re: Ollydbg me engaña
Publicado por: MCKSys Argentina en 3 Septiembre 2010, 19:56 pm
No se si es el caso, pero la instruccion seria:

Código:
MOV AX, WORD PTR [7C800000]

Sera por eso??

PD: Esa sección, no es de una DLL del sistema?? Que estas tratando de hacer??


Título: Re: Ollydbg me engaña
Publicado por: lapras en 14 Septiembre 2010, 00:27 am
Citar
Insertar Cita
No se si es el caso, pero la instruccion seria:

Código:
Código:
MOV AX, WORD PTR [7C800000]
Si bueno es lo mismo al fin y al cabo pero el problema esque pone en el dump una cosa y luego mueve a eax otra cosa.

Si, es una dll del sistema kernel32, solo estaba juagando un poco y probar


Título: Re: Ollydbg me engaña
Publicado por: apuromafo CLS en 14 Septiembre 2010, 21:20 pm
no creo que te engañe del todo, el tamaño del registro que estas moviendo es bastante pequeño (16bytes el registro ax, ah, al, ) en cambio el registro EAX, es de 32bytes

si es por comando te sugiero que hagas un lea (en vez de mov), o un
cmp dword prt ss:[offset],4D5Ah
je lugar

y asi vas comparando si realmente vas viendo eso..
con ax, no creo que resulte por almacenar esos bytes

si no me crees, coloca
mov eax, 7c800000
cmp ax,0
cmp al,0
cmp ah,0

y luego matas la duda cuando ves los registros en vivo en comparacion.

supongo que estas usando ollydbg cierto?..
///


Título: Re: Ollydbg me engaña
Publicado por: lapras en 14 Septiembre 2010, 23:02 pm
Jaja vale ya se por que es... ;D
resulta que tenia en esa direccion un breakpoint y los breakpoints modificanel codigo y lo substituyen por CCh. Para solocionarlo puse un hardware breakpoint
Si, como indica el titulo estoy usando olly
Gracias