[HaBo]

Inc · 26.02.06, 22:13

hi leute,

Also ich habe folgendes probelm mit OlyDbg:

ich versuche in einem modul einen textstring zu suchen, wenn ich Search Binary mache finde ich nix!! obwohl es drin sein muss was ich suche. mache ich Search ALL TEXT STRINGS findet ers natürlich aber was will ich mit allen das sind zuviele will nur einen begriff in der dll suchen. kennt sich jemand aus !?

vielen dank im vorraus

-inc-

**CDW** · 26.02.06, 22:24

Methode 1: Alt+M drücken (Memorymap ansicht), die DLL bereiche auswählen (normalerweise irgendwo "oben", adressbreich: 1xxx) und dann STRG+B - jetzt den Suchtext eingeben
Methode2: in den Modul wechesln (also sicherstellen, dass Du nicht in der Exe, sondern in der DLL bist: ALT+E und dann die DLL auswählen) und entweder STRG+B für Suche (man sollte dann aber im "Data" Bereich sein) oder wieder wie Du es schon gemacht hast "Search all String" - dann hat man zwar viele Strings, man kann aber Rechtsklick "Search for text" machen

Möglichkeit 3: die Strings sind verschlüsselt und werden erst zur Laufzeit, kurz vor dem gebrauch "entschlüsselt". Da wirds schon etwas komplizierter.

Anzeige

- Anzeige -

Inc · 26.02.06, 22:55

wOOw!

das ging aber mal echt schnell

*freu* ja stimmt mit methode zwei war ich schon ganz nah dran nur dann nochmal rmb vergessen :\ also erstmal vielen dank das mit dem memoryblock durchsuchen ist auch super währe ich wohl erst in jahren drauf gestossen

hört sich für mich so an als ob du das ding auswending kennst ^^

kannst du mir auch sagen was der unterschied ist zwischen nem hardware breakpoint und dem welchen ich mit F2 setzte ?!

-inc-

ps: meine suche funtz jetzt wunderbar vielenDank CDW

**CDW** · 26.02.06, 23:27

Zitat:

hardware breakpoint und dem welchen ich mit F2 setzte

Naja, soweit ich weiß werden für HardwareBPs die Debugregister der CPU benutzt - so dass diese dann auch den Part mit dem "pausieren" usw übernimmt.
Wogegen der "F2" BP von Olly "intern"(also softwaremäßig) geregelt wird (afaik wird es mit INT3 überschrieben, nur der "User" bekommt es nicht mit, weil Olly nach außen hin noch den richtigen Code darstellt). Damit liegt auch eine Codeänderung vor, die man auch "entdecken" kann.
Die Hardware BP sind imho (zumindest in Olly) bei bestimmten Sachen zuverlässiger und einfacher. Nur werden diese durch die Reigsteranzahl begrenzt. Besonders wenn man SpeicherBPs macht, sollte man HardwareBPs einsetzten (bei Software-Memory-BPs hatte ich auch schon ab und zu Systemabstürze und änliches).

Zitat:

hört sich für mich so an als ob du das ding auswending kennst ^^

das kann man gar nicht - hab gerade, als ich die Referenz gesucht habe, etwas Neues entdeckt - Message BPs

Aber so ein paar Abkürzungen erleichtern einem schon das Leben:
http://www.ollydbg.de/quickst.htm

Inc · 27.02.06, 00:18

oje, das musste ich mir dreimal durchlesen und es ein halbes mal zu kapieren

ich habe auch schon in der dll datei erfolgreich gefunden was ich gesucht habe und tatsächlich stürtz es beim F2 breakpoint ab!

leider mag ich den mehr weil er farblich so schön gekennzeichnet ist... und beim hardware breakpoint habe ich keine markierung das irritiert mich etwas.

den quickstart link zieh ich mir grad rein

btw die crackme sachen sind voll intressant aber leider gibts da keine anfänger sektion wo wirklich einfache sachen drin sind. egal man kann nicht alles haben sagt mein opa immer

vielen dank für all die hilfe

-inc-

Pyrokar · 27.02.06, 08:15

Ich hoffe ich darf diesen Thread mal für eine Nebenfrage missbrauchen, weil sie doch sehr nah liegt:
Wie finde ich denn am besten die Adresse einer so angelegten globalen Variable in Olly wieder?

Code:

char* var = "content";

"content" findet er leider auch nicht bei einer suche nach Textstrings. Es kommt mir vor als ob der Compiler die versteckt.
Wenn jemand weiß wie man die Adresse am besten findet würde ich mich über eine Antwort freuen :>.
(Habe weniger Erfahrung mit OllyDbg)

**CDW** · 27.02.06, 11:53

Zitat:

"content" findet er leider auch nicht bei einer suche nach Textstrings

Die Variable muss irgendwo auch referenziert werden - d.h wenn Du diese (im Quellcode) zwar anlegst, aber im späterem Programmablauf nie benutzt, dann optimiert ein halbwegs guter Compiler sie auch schon mal gerne weg.

Naja, die "Memory" Suche wäre eigentlich die zuverlässigste Methode:
Menüs: "View"->"memory". Hier einen Eintrag ganz oben auswählen, Rechtklick und "Search" wählen. Jetzt wird der Speicher des Programms komplett nach diesem String abgegrast. Nun muss man nur noch aufpassen, wo man diesen findet - es kann mehrere Fundstellen geben (je nach Benutzung der Variable). Man sollte vorerst nur den Exebereich nehmen - erkennbar an dem Exenamen in "Owner"-Spalte. Mit Rechtklick, "Search next" kann man weitersuchen.
Wenn der String in der Exe drin ist (unverschlüsselt) dann findet ihn diese Methode auf jedenfall

Pyrokar · 27.02.06, 12:25

Danke, habs jetzt gefunden.

Geh ich richtig in der Annahme dass die Speichadresse, mit der ich den Inhalt von var jetzt ansprechen kann 45E260 ist? (Da der Inhalt der Variable ja am Anfang der Zeile anfängt)

Lesco · 27.02.06, 13:46

Zitat:

Original von Pyrokar
Danke, habs jetzt gefunden.

Geh ich richtig in der Annahme dass die Speichadresse, mit der ich den Inhalt von var jetzt ansprechen kann 45E260 ist?

Ja.

Anzeige

- Anzeige -

26.02.06, 22:13	#1 (permalink)
Inc Registriert seit: 26.02.06 Likes: 0	OlyDbg -Search Text String- Anzeige hi leute, Also ich habe folgendes probelm mit OlyDbg: ich versuche in einem modul einen textstring zu suchen, wenn ich Search Binary mache finde ich nix!! obwohl es drin sein muss was ich suche. mache ich Search ALL TEXT STRINGS findet ers natürlich aber was will ich mit allen das sind zuviele will nur einen begriff in der dll suchen. kennt sich jemand aus !? vielen dank im vorraus -inc-

26.02.06, 22:24	#2 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 200	Methode 1: Alt+M drücken (Memorymap ansicht), die DLL bereiche auswählen (normalerweise irgendwo "oben", adressbreich: 1xxx) und dann STRG+B - jetzt den Suchtext eingeben Methode2: in den Modul wechesln (also sicherstellen, dass Du nicht in der Exe, sondern in der DLL bist: ALT+E und dann die DLL auswählen) und entweder STRG+B für Suche (man sollte dann aber im "Data" Bereich sein) oder wieder wie Du es schon gemacht hast "Search all String" - dann hat man zwar viele Strings, man kann aber Rechtsklick "Search for text" machen Möglichkeit 3: die Strings sind verschlüsselt und werden erst zur Laufzeit, kurz vor dem gebrauch "entschlüsselt". Da wirds schon etwas komplizierter. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

27.02.06, 08:15	#6 (permalink)
Pyrokar Registriert seit: 15.02.05 Likes: 0	Ich hoffe ich darf diesen Thread mal für eine Nebenfrage missbrauchen, weil sie doch sehr nah liegt: Wie finde ich denn am besten die Adresse einer so angelegten globalen Variable in Olly wieder? Code: char* var = "content"; "content" findet er leider auch nicht bei einer suche nach Textstrings. Es kommt mir vor als ob der Compiler die versteckt. Wenn jemand weiß wie man die Adresse am besten findet würde ich mich über eine Antwort freuen :>. (Habe weniger Erfahrung mit OllyDbg)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Text String suche, file übergreifend	ByteSurfer	Code Kitchen	8	06.09.09 12:21
Python String aus mehreren Variablen und Text	ba2	Code Kitchen	4	15.02.08 18:02
String = "Text" plus integer plus "nochmaltext"???	kmindi	Code Kitchen	2	06.12.06 21:58
ifstream: Text in string	CentralWay	Code Kitchen	3	03.05.06 14:42
OlyDbg -#C2/RETN Nachvollziehen-	Inc	Applikationen	3	02.03.06 15:52

26.02.06, 22:55	#3 (permalink)
Inc Themenstarter Registriert seit: 26.02.06 Likes: 0	wOOw! das ging aber mal echt schnell freu ja stimmt mit methode zwei war ich schon ganz nah dran nur dann nochmal rmb vergessen :\ also erstmal vielen dank das mit dem memoryblock durchsuchen ist auch super währe ich wohl erst in jahren drauf gestossen hört sich für mich so an als ob du das ding auswending kennst ^^ kannst du mir auch sagen was der unterschied ist zwischen nem hardware breakpoint und dem welchen ich mit F2 setzte ?! -inc- ps: meine suche funtz jetzt wunderbar vielenDank CDW

27.02.06, 00:18	#5 (permalink)
Inc Themenstarter Registriert seit: 26.02.06 Likes: 0	oje, das musste ich mir dreimal durchlesen und es ein halbes mal zu kapieren ich habe auch schon in der dll datei erfolgreich gefunden was ich gesucht habe und tatsächlich stürtz es beim F2 breakpoint ab! leider mag ich den mehr weil er farblich so schön gekennzeichnet ist... und beim hardware breakpoint habe ich keine markierung das irritiert mich etwas. den quickstart link zieh ich mir grad rein btw die crackme sachen sind voll intressant aber leider gibts da keine anfänger sektion wo wirklich einfache sachen drin sind. egal man kann nicht alles haben sagt mein opa immer vielen dank für all die hilfe -inc-

27.02.06, 12:25	#8 (permalink)
Pyrokar Registriert seit: 15.02.05 Likes: 0	Danke, habs jetzt gefunden. Geh ich richtig in der Annahme dass die Speichadresse, mit der ich den Inhalt von var jetzt ansprechen kann 45E260 ist? (Da der Inhalt der Variable ja am Anfang der Zeile anfängt)

[HaBo]

OlyDbg -Search Text String-