HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > Реверсинг
Перезагрузить страницу VEHWalk Plugin v0.1
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

VEHWalk Plugin v0.1
  #1  
Старый 21.08.2008, 14:01
0x0c0de
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
С нами: 9981026

Репутация: 1564
По умолчанию VEHWalk Plugin v0.1
[Description]
Плагин, позволяющий просмотреть список установленных в программе VEH обработчиков. Достаточно выбрать пункт меню View VEH [щелкнуть правой кнопкой мыши в окне CPU и выбрать в меню этот пункт]
screen
http://0x0c0de.net/menu.JPG

и в окне VEH Handlers появится список установленных VEH обработчиков.

[Install]
Копируете VEH_Walker_Plugin.dll в папку с плагинами OllyDbg. Загружаете в отладчик программу VEHDemo. Ставите бряк на адрес 0040106B - как раз тогда будут установлены все обработчики или на функцию ExitProcess и выбираете View VEH. Если все прошло хорошо, то вы увидите адреса 4-х обработчиков в окне VEH Handlers. На них можно ставить бряки [F2] прямо в окне VEH Handlers.

Скрин
http://0x0c0de.net/scr.JPG

Двойной щелчок или клавиша Enter - переход по адресу обработчика

[Download]
http://0x0c0de.net/VEHWalk.rar

*Тестировалось на winxp sp2 и sp3

(c) 0x0c0de 2008
𝕏 Twitter Reddit Telegram Копировать ссылку
Последний раз редактировалось 0x0c0de; 22.08.2008 в 11:58..
 
Ответить с цитированием

  #2  
Старый 22.08.2008, 12:35
0verbreaK
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
С нами: 9489537

Репутация: 136
По умолчанию
получил 4 вектора

Код:
1 00000000 ???
2 00000010 ???
3 00000020 ???
4 00000030 ???
Вот адреса только нулевые, Windows XP
 
Ответить с цитированием

  #3  
Старый 22.08.2008, 12:45
0x0c0de
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
С нами: 9981026

Репутация: 1564
По умолчанию
Хм, я тестила на WinXP SP3 и SP2 все гуд. SP какой у вас? Так же желательно назвать сборку OllyDbg и используемые плагины.
При возможности, свяжитесь со мной по осеку.

-----------Добавлено -----------
----------------22.08.08--------------
Удалите предыдущую версию и установите отладочную. После работы плагина [вызова окна обработчиков] скиньте мне лог [из Log Window Alt+L] между

--------VEH Walk log----------------

и

-------VEH Walk end log------------

Скачать отладочную

http://0x0c0de.net/VEH_Walker_Plugin_Debug.dll


-------------23.08.08-----------------

В отладочной версии добавлена поддержка XP без какого-либо SP. Опять же, просьба скинуть лог работы при возникновении ошибок [у самой все версии только с сп, поэтому протестировать у себя не могу]

Спасибо
Последний раз редактировалось 0x0c0de; 23.08.2008 в 10:02..
 
Ответить с цитированием

  #4  
Старый 23.08.2008, 13:00
0verbreaK
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
С нами: 9489537

Репутация: 136
По умолчанию
OS: Windows XP (без SP)
Debugger: OllyDbg v1.10
Plugins: 9 штук

bookmarks
cmdbar
cmdline
HideDebugger
OllyDump
TEplus
VEHWalker
windowjuggler

Чуть позже буду тестить дебаг версию, спасибо.
 
Ответить с цитированием

  #5  
Старый 26.08.2008, 23:35
0verbreaK
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
С нами: 9489537

Репутация: 136
По умолчанию
Опа, в дебаг версии все отлично работает.

Код:
Number  Handler 	Disassembly

1	00401010	SUB EAX,EAX 
2	00401000 	PUSH EDI
3	00401030	SUB ECX,EAX
4	00401020 	ADD EAX,EAX
0x0c0de а почему не копируется из окна просмотра VEH полученные данные, может стоит добавить если существует такая возможность.
 
Ответить с цитированием

  #6  
Старый 27.08.2008, 06:43
0x0c0de
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
С нами: 9981026

Репутация: 1564
По умолчанию
>> Опа, в дебаг версии все отлично работает.

Да, я до 0.2 еще позавчера [раньше?] обновила [весит чуть меньше и работает чуть быстрее]. Просто тут не отписалась, что все перезалито. Еще люди с win xp без сп тестили на др форуме, в выходные [в понедельник?] отрепортили, что все хорошо

>> 0x0c0de а почему не копируется из окна просмотра VEH полученные данные, может стоит добавить если существует такая возможность.

Плагин перезалит [там же лежит, где и в первом посте] , ваша просьба выполнена

можете посмотреть так же версию для immunitydebugger, если вам интересно

http://0x0c0de.net/imm_veh.rar

Спасибо.
Последний раз редактировалось 0x0c0de; 27.08.2008 в 16:39..
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Python plugin for OllyDbg] 0x0c0de Реверсинг 8 19.07.2008 22:12
NewBrut for mail.ru v0.1 ru vanpeld Уязвимости Mail-сервис 6 21.04.2008 00:28
SCbrute v0.1 beta ScoL Уязвимости Mail-сервис 2 21.03.2008 18:28



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.