|
Título: Duda con OllyDbg 2.01 Publicado por: avesudra en 2 Junio 2012, 23:59 pm Bueno vereis , hace poco me ha entrado el gusanillo de retomar esto que empecé el verano del año pasado y he continuado con el curso de Ricardo Narvaja y me he topado con el crackme crackmeasy , pero el problema no es el crackme , si no como esta versión del olly lo analiza, les dejo una imagen , el problema está en que no entiendo que significa LOCAL.x cuando quiere pasar un registro a una direccion de memoria.Pues en el OllyDbg 1.10 lo pone "normal" o sea por ejemplo en la dirección 00401303 después del breakpoint , MOV DWORD PTR SS:[EBP-10],0 mientras que en el OllyDbg 2.01 pone en el mismo sitio MOV DWORD PTR SS:[LOCAL.4],0 . Si me pudieseis explicar que significa o como cambiarlo en las opciones me haríais un gran favor y ya también preguntar que porqué no salen las apis con las llaves esas como en el OllyDbg 1.10 ?
(http://img585.imageshack.us/img585/4673/ollyl.png) Un saludo y muchísimas gracias! Título: Re: Duda con OllyDbg 2.01 Publicado por: Иōҳ en 3 Junio 2012, 05:56 am Eso quiere decir que es una variable local, es más fácil recordar LOCAL.X qué EBP-Y, siendo que Y puede ser cualquier número aveces es tedioso.
Los dos serían lo "mismo", es decir LOCAL.1 sería igual a EBP-4, LOCAL.2 sería igual a EBP-8, así consecutivamente dependiendo del caso. Entonces LOCAL.X es sólo una etiqueta para ayudar al análisis, solo eso, si apretas la barra espaciadora en esa instrucción verás el EBP-Y real. En OllyDBG 1.10 también se puede configurar con LOCAL.X, yo lo tengo configurado así por las razones ya mencionadas, igual en el OllyDBG 2.X si no me equivoco se puede quita esa opción para que lo veas como EBP-Y. Saludos, Nox. Título: Re: Duda con OllyDbg 2.01 Publicado por: Tinkipinki en 3 Junio 2012, 08:16 am Hola avesudra:
En Ollydbg 2 prueba con Options -> Analysis options y destilda el Show recognized ARGs and LOCALS in disassembly En Ollydbg 1.10 Debbugin options -> Analysis 1 -> destilda Show ARGs and LOCAL in procedures Espero que te sirva. Saludos Título: Re: Duda con OllyDbg 2.01 Publicado por: avesudra en 3 Junio 2012, 15:51 pm Muchísimas gracias a los dos , ya lo he entendido y bueno lo de las APIS que no me habeis respondido supongo que no lo habreis visto , es que en el ollydbg 1.10 sale en el breakpoint Código: CALL <JMP.&USER32.GetDlgItemTextA> Código: CALL 00401650 De nuevo muchisimas gracias! PD: Acabo de encontrar donde es para cambiar lo del CALL 00401650 por CALL <JMP.&USER32.GetDlgItemTextA> lo dejo aquí : Options->Code-> Marcar la casilla Show symbolic adresses. Pero siguen sin salirme los argumentos de la API en una llave. Título: Re: Duda con OllyDbg 2.01 Publicado por: karmany en 3 Junio 2012, 16:18 pm ...Pero siguen sin salirme los argumentos de la API en una llave. Prueba a hacerlo desde el principio. Borra el archivo ollydbg.ini y empieza de cero. Puede que este sea el problema. Título: Re: Duda con OllyDbg 2.01 Publicado por: avesudra en 3 Junio 2012, 17:08 pm Ya esta solucionado, el problema era que tenia la 2.00.01 y esa no tiene unos cuantos .udd que contienen información de las apis y cosas de esas creo, no sé. Desde luego diferencia hay ,tengo la 2.00.01 que pesa (1,80 mb) , me he bajado la 2.01 (alpha 4)que pesa (50 mb) y todo rulando.
¡Un Saludo y muchas gracias a todos! |