[HaBo]

Inc · 24.04.06, 20:15

Hi Leute,

ich möchte ne eingabestelle finden im opcode finde sie aber leider nicht :\ es sind schon ewig viele abende und chipstüten draufgegangen. also ich habe folgedes problem:

ich gebe zum beispiel an einer stelle wo das gefragt wird ein datum ein :) sagen wir es ist der 12122006 jetzt möchte ich diese eingabe mit ollydgb finden aber egal wie ich probiert hab ich finde es nicht :\

hat schonmal jemand ein ähnliches problem gehabt? wenn ja geb mir bitte ein paar tips :))

->inc

v01d · 24.04.06, 21:44

kommt drauf an, wie du das eingibsst. konsole oder über fenster?

Anzeige

- Anzeige -

nop · 24.04.06, 23:06

Such mit Olly mal nach "all intermodular calls".

Folgende Calls sollten dein interesse wecken:
- GetDlgItemText
- GetWindowText
- SendMessage

Bei SendMessage musst du schauen ob die verschickte Nachricht WM_GETTEXT ist.
Wenn ja, ist das auch eine Methode um an den Text eines Fensters zu kommen.

Sollte es eine Konsolen-Anwendung sein, solltest du nach
- *scanf
- *gets
suchen. Allerdings kann es dir passieren, dass Olly nichts findet obwohl diese Funktionen verwendet wurden. Das liegt daran, dass manche dieser Funktionen direkt in die exe "reinkompiliert" werden und nicht aus einem anderen Modul importiert werden.

Falls du dich fragst von welchen Funktionen ich die ganze Zeit erzähle, schau einfach mal in die MSDN, da sind die Funktionen erklärt.

Hope that helps.

Inc · 25.04.06, 10:58

erstmal vielen dank für die antworten.

Zitat:

kommt drauf an, wie du das eingibsst. konsole oder über fenster?

argh! sry, für meine nicht detaillerte erklärung ist keine konsolenanwendug!

Zitat:

Such mit Olly mal nach "all intermodular calls".

Folgende Calls sollten dein interesse wecken:
- GetDlgItemText
- GetWindowText
- SendMessage

sehr intresannt! jetzt hab ich wieder futta zum weitersuchen! danke

Zitat:

Allerdings kann es dir passieren, dass Olly nichts findet obwohl diese Funktionen verwendet wurden. Das liegt daran, dass manche dieser Funktionen direkt in die exe "reinkompiliert" werden und nicht aus einem anderen Modul importiert werden.

kann ich in so nem fall nicht direkt nach dem opcode suchen ? der bleibt doch immer gleich für nen befehl.
nun gut ich will erstmal weitersuchen *hechel* *hechel*

thx euch beiden für weiter vorschläge bin ich immer offen

->inc

v01d · 25.04.06, 12:54

Zitat:

kann ich in so nem fall nicht direkt nach dem opcode suchen ? der bleibt doch immer gleich für nen befehl.

Nee, da an der Stelle dann nicht mehr "call scanf" steht, sondern ein call zu einer funktion im programm, die möglicherweise gar nicht mehr scanf heißt.

Lesco · 25.04.06, 13:45

Olly breakt auch nicht bei Api-Calls, bei denen die Addresse der Funktion zur Laufzeit per GetProcAddress ermittelt wird, wobei ring0-Debugger diese Calls auch erkennen.
Es kann also manchmal auch ein bp auf GetProcAddress was nützen.

Außerdem ist der Opcode für "call scanf" von Programm zu Programm anders ist, da sich der entsprechende Eintrag in IAT an einer anderen Stelle befindet, oder, bei statischem Linken, die Funktion an einer anderen Addresse im Programm steht

nop · 25.04.06, 14:51

@Inc:
Ich glaube du hast eine falsche Vorstellung davon was Opcodes sind. Opcodes sind Werte die einen Maschinenbefehl darstellen. Ein Aufruf einer Funktion z.B. besteht aus einer folge von Opcodes, es gibt also keinen einzelnen Opcode nach dem du suchen kannst. Wie Lesco schon gesagt hat.

Und wo Lesco es schon anspricht, die Schwäche in Olly ist, dass er Calls die nicht eine fixe Adresse aufrufen sondern eine Adresse aus einem Register (z.B. call edi) selten erkennt bevor du mit dort anhältst. Also gestaltet sich die Suche dann etwas schwieriger.Das passiert übrigens nicht nur bei GetProcAddress-Funktionen, sondern wird auch von Compilern zur Optimierung bei mehreren gleichen Calls hintereinander eingesetzt. Wie hier:

Code:

mov edi, MY_FUNCTION
push eax
call edi
mov ebx,eax
push ecx
call edi
...

PS.:
IDA kann sowas auch erkennen, aber das ist ein anderes Thema. ;-)

Lesco · 25.04.06, 16:36

Noch ein kleiner Nachtrag:
Jedoch lässt sich das Problem mit den nicht erkannten Calls und deshalb nicht greifenden Breakpoints lösen indem man einfach einen bp auf den ersten Befehl der Funktion setzt(oder schneller in der Kommandozeile: "bp $funktion").

Inc · 25.04.06, 18:37

ok ich glaubs euch langsam den ich hab 75% aller GetDlgItemText, GetWindowText, SendMessage durch und niergends greift mein hWbP son mist watt nütz mir dann zu wissen das eine dieser funktionen meine infos transportieren oder besser gesagt wie kann ich nen bp setzten der auch wirklich anhält

@nop ich dachte immer

Code:

Opcode | Mnemonic
  90   |   nop
  8B   |   mov

hmmm IDA hab ich hier noch irgendwo auf der pladde rumliegen ist aber wirklich schrecklich kompliziert das ding.

ps: vielen dank Lesco, nop und v01d

->inc

Anzeige

- Anzeige -

24.04.06, 20:15	#1 (permalink)
Inc Registriert seit: 26.02.06 Likes: 0	OllyDbg -Eingabe Finden- Anzeige Hi Leute, ich möchte ne eingabestelle finden im opcode finde sie aber leider nicht :\ es sind schon ewig viele abende und chipstüten draufgegangen. also ich habe folgedes problem: ich gebe zum beispiel an einer stelle wo das gefragt wird ein datum ein :) sagen wir es ist der 12122006 jetzt möchte ich diese eingabe mit ollydgb finden aber egal wie ich probiert hab ich finde es nicht :\ hat schonmal jemand ein ähnliches problem gehabt? wenn ja geb mir bitte ein paar tips :)) ->inc

25.04.06, 14:51	#7 (permalink)
nop Registriert seit: 08.03.06 Likes: 0	@Inc: Ich glaube du hast eine falsche Vorstellung davon was Opcodes sind. Opcodes sind Werte die einen Maschinenbefehl darstellen. Ein Aufruf einer Funktion z.B. besteht aus einer folge von Opcodes, es gibt also keinen einzelnen Opcode nach dem du suchen kannst. Wie Lesco schon gesagt hat. Und wo Lesco es schon anspricht, die Schwäche in Olly ist, dass er Calls die nicht eine fixe Adresse aufrufen sondern eine Adresse aus einem Register (z.B. call edi) selten erkennt bevor du mit dort anhältst. Also gestaltet sich die Suche dann etwas schwieriger.Das passiert übrigens nicht nur bei GetProcAddress-Funktionen, sondern wird auch von Compilern zur Optimierung bei mehreren gleichen Calls hintereinander eingesetzt. Wie hier: Code: mov edi, MY_FUNCTION push eax call edi mov ebx,eax push ecx call edi ... PS.: IDA kann sowas auch erkennen, aber das ist ein anderes Thema. ;-)

25.04.06, 18:37	#9 (permalink)
Inc Themenstarter Registriert seit: 26.02.06 Likes: 0	ok ich glaubs euch langsam den ich hab 75% aller GetDlgItemText, GetWindowText, SendMessage durch und niergends greift mein hWbP son mist watt nütz mir dann zu wissen das eine dieser funktionen meine infos transportieren oder besser gesagt wie kann ich nen bp setzten der auch wirklich anhält @nop ich dachte immer Code: Opcode \| Mnemonic 90 \| nop 8B \| mov hmmm IDA hab ich hier noch irgendwo auf der pladde rumliegen ist aber wirklich schrecklich kompliziert das ding. ps: vielen dank Lesco, nop und v01d ->inc

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[C++] Eingabe mit Datentyp verlgleichen	nookstar	Code Kitchen	4	10.12.07 19:29
Ich kann alle im Netzwerk finden, mich kann man auch finden aber nicht zugreifen	Strahl	Network · LAN, WAN, Firewalls	11	21.07.05 16:52
C eingabe	silvester	Code Kitchen	6	08.01.05 20:14
Eingabe Aufforderungen	Maxyz	(In)security allgemein	11	12.04.04 15:01
C / C++ Eingabe begrenzen?	zinion	Code Kitchen	15	04.02.04 12:27

24.04.06, 21:44	#2 (permalink)
v01d Registriert seit: 30.05.05 Likes: 0	kommt drauf an, wie du das eingibsst. konsole oder über fenster?

24.04.06, 23:06	#3 (permalink)
nop Registriert seit: 08.03.06 Likes: 0	Such mit Olly mal nach "all intermodular calls". Folgende Calls sollten dein interesse wecken: - GetDlgItemText - GetWindowText - SendMessage Bei SendMessage musst du schauen ob die verschickte Nachricht WM_GETTEXT ist. Wenn ja, ist das auch eine Methode um an den Text eines Fensters zu kommen. Sollte es eine Konsolen-Anwendung sein, solltest du nach - scanf - gets suchen. Allerdings kann es dir passieren, dass Olly nichts findet obwohl diese Funktionen verwendet wurden. Das liegt daran, dass manche dieser Funktionen direkt in die exe "reinkompiliert" werden und nicht aus einem anderen Modul importiert werden. Falls du dich fragst von welchen Funktionen ich die ganze Zeit erzähle, schau einfach mal in die MSDN, da sind die Funktionen erklärt. Hope that helps.

25.04.06, 13:45	#6 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	Olly breakt auch nicht bei Api-Calls, bei denen die Addresse der Funktion zur Laufzeit per GetProcAddress ermittelt wird, wobei ring0-Debugger diese Calls auch erkennen. Es kann also manchmal auch ein bp auf GetProcAddress was nützen. Außerdem ist der Opcode für "call scanf" von Programm zu Programm anders ist, da sich der entsprechende Eintrag in IAT an einer anderen Stelle befindet, oder, bei statischem Linken, die Funktion an einer anderen Addresse im Programm steht

25.04.06, 16:36	#8 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	Noch ein kleiner Nachtrag: Jedoch lässt sich das Problem mit den nicht erkannten Calls und deshalb nicht greifenden Breakpoints lösen indem man einfach einen bp auf den ersten Befehl der Funktion setzt(oder schneller in der Kommandozeile: "bp $funktion").

[HaBo]

OllyDbg -Eingabe Finden-