[HaBo]

Mr.Yeah · 19.05.08, 17:59

Ich habe schon einige CrackMes gesehen und damit herumgespielt. Mir ist es auch oft passiert, dass OllyDbg manchmal Probleme hat, den Code zu disassemblen und zu debuggen.

Meine Fragen:
Wie schaffen sie das?
Was kann ich tun, um dennoch OllyDbg zu benutzen?

Ich bin mir ziemlich sicher, dass es nicht nur einen Weg gibt.

bad_alloc · 19.05.08, 18:36

manchmal werden bugs in Olly benutzt um das programm zu crashen. Andererseits kann es sein, dass dein pc sehr langsam ist und sich aufhängt wenn es ein sehr großes programm disassembled, da das einiges an rechneleistung braucht.
ANsonsten besrg dir die neuste version von olly.

HaBo Ads

**CDW** · 19.05.08, 19:23

Zu den Versionen:
die "neuste" Version von Olly ist 1.10 (von 2004)

(die 2.0 ist immer noch pre-alpha)
Es gibt inoffzielle Bugfixes.
Hier würde ich eigentlich das OllyAdvanced (->http://www.tuts4you.com/download.php?view.75) - Plugin empfehlen, welches viele Bugs schließt und einige nützliche Features mitbringt. Ansonsten kann man sich noch einige Modifikationen auf der Seite anschauen.
Insgesamt gibt es etliche Antidebugtricks. Wenn Du eine Auswahl davon sehen möchtest: schau Dir paar Tutorials von Haggar an, was
ExeCrypter/Themida oder auch Y0dasProtector angeht:
http://www.reversing.be/

Dann gibt es noch "technische" Probleme (also nicht als Anti-Debug geplannt), die man duch die Debug-Option Einstellungen beheben kann. Da sollte man insbesondere die Exeptionbehandlung sowie Code-Analyseoptionen durchgehen.
Solange kein "Heavy-Antidebug" anzutreffen ist, sollte man die Analyse auf "Heurisitic" stellen und Exeptions auf (Screenshot) stellen. Dazu öfters mal STRG+A anwenden (erzwingz eine neue Analyse) - manchmal hilft es auch, die Analyse funktionen zu variiren - aber Ollydbg hat nungmal keine so starke Disassemblerengine wie IDA und die einen oder anderen Problemchen. Ergibt ein Codestück partout keinen Sinn - markieren und per Rechtsklickmenü "Analsysis->remove analysis from module". Zusätzlich kann man durch STRG+Pfeiltasten den Code so zu sagen "alignen" (mir fällt kein korrekter Ausdruck ein, um es zu beschreiben

-> jedenfalls disassembliert Olly nur ein bisschen mehr, als er für die Anzeige braucht - mit STRG+Pfeil oben/unten verschiebt man den Bereich byteweise, was eine "reanalysierung" der Anzeige mit diesem Byte als Startbyte erzwingt)-

Ansonsten: es kommt stark auf das einzelne Problem an. Außer einigen Ausnahmen haben die meisten Crackmes i.R keinerlei Anti-Debug maßnahmen. Zumindest nicht auf "Low-Level-Olly" Ebene

.

Mr.Yeah · 19.05.08, 20:55

CDW, du hast es drauf.

Deine Lösung hat mich sehr weit gebracht. Das Programm unterbricht immer noch an der selben Stelle, jedoch kann ich es weiterlaufen lassen. Ich werde bald ein wenig mit den Einstellungen herumspielen.

Von mir bekommst du ein ganz fettes DANKE!

xrayn · 19.05.08, 22:22

Hier im uebrigen ne kleine Anti-Debug-Sammlung: http://ap0x.jezgra.net/protection.html

Ein bisschen obfuscation bringts natuerlich auch, wenn du im PE-Header rumwuetest. Kannst es ja mal probieren, es gibt Werte, die wenn du sie aenderst Olly ziemlich verwirren, die startfaehigkeit unter Windows aber nicht beeintraechtigen. Sind halt dirty-tricks...

Empfehlung

19.05.08, 17:59	#1 (permalink)
Mr.Yeah Registriert seit: 09.10.07 Likes: 0	[erledigt] Wenn OllyDbg nicht funktioniert... Ich habe schon einige CrackMes gesehen und damit herumgespielt. Mir ist es auch oft passiert, dass OllyDbg manchmal Probleme hat, den Code zu disassemblen und zu debuggen. Meine Fragen: Wie schaffen sie das? Was kann ich tun, um dennoch OllyDbg zu benutzen? Ich bin mir ziemlich sicher, dass es nicht nur einen Weg gibt.

19.05.08, 18:36	#2 (permalink)
bad_alloc Registriert seit: 27.12.07 Likes: 24	manchmal werden bugs in Olly benutzt um das programm zu crashen. Andererseits kann es sein, dass dein pc sehr langsam ist und sich aufhängt wenn es ein sehr großes programm disassembled, da das einiges an rechneleistung braucht. ANsonsten besrg dir die neuste version von olly. __________________ You shoot yourself in somebody else's foot.\|Dann gabs da noch den Mathematiker der P?=NP in O(1) erklärte. \|[A]\| = p(·,\|[A]\|)+1

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[erledigt] Internet funktioniert nicht nach ubuntu install.	dave4dead	Linux/UNIX	14	07.11.09 20:48
OllyDbg zeigt Fenster nicht	blobbo	Hacks & Crackmes	0	05.10.09 21:23
ollydbg läuft mit wine, crackme's jedoch nicht	buggybunny	Linux/UNIX	2	19.03.07 00:26
OllyDbg -> spiel startet nicht	Crispy	Applikationen	7	25.03.06 13:04
OllyDBG. sehe nach F9 das Programm nicht	Tbug	Applikationen	1	03.11.05 00:05

19.05.08, 20:55	#4 (permalink)
Mr.Yeah Themenstarter Registriert seit: 09.10.07 Likes: 0	CDW, du hast es drauf. Deine Lösung hat mich sehr weit gebracht. Das Programm unterbricht immer noch an der selben Stelle, jedoch kann ich es weiterlaufen lassen. Ich werde bald ein wenig mit den Einstellungen herumspielen. Von mir bekommst du ein ganz fettes DANKE!

19.05.08, 22:22	#5 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 185	Hier im uebrigen ne kleine Anti-Debug-Sammlung: http://ap0x.jezgra.net/protection.html Ein bisschen obfuscation bringts natuerlich auch, wenn du im PE-Header rumwuetest. Kannst es ja mal probieren, es gibt Werte, die wenn du sie aenderst Olly ziemlich verwirren, die startfaehigkeit unter Windows aber nicht beeintraechtigen. Sind halt dirty-tricks...


HaBo Ads HaBOT

[HaBo]

[erledigt] Wenn OllyDbg nicht funktioniert...