[HaBo]

QuickNick · 18.06.08, 19:25

Hallo,
ich habe mir die ersten 7 Tuts von Lena angeschaut und wollte jetzt selber etwas ausprobieren.

Ich habe folgendes Problem:
Wenn ich das Programm in Olly öffne, wird zuerst ganz normal in der unteren Zeile "Module C: ... " angezeigt, bleibt dann jedoch bei der WSOCK32.dll stehen. Kurz danach öffnet sich das Fenster des Programms.

Wenn ich jetzt bei Olly auf Pause drücke oder das Programm schließe, landet Olly bei der ntdll.

Meine Fragen sind jetzt:
Wie komme ich in den Code des Programms? (Also nicht in die ntdll)
Wie kann ich verhindern, dass das Programm ausgeführt wird damit ich mir auch den Code am Anfang Step by Step angucken kann?

ThX schonmal

greetz
Nick

**CDW** · 18.06.08, 19:34

Schau nach, ob unter Debugoptionen (ALT+O) ->Events nur "make first pause on entry Point of main module" markiert ist. Bei der Spalte "Exception" (direkt neben "Events") ersmal überall ein Häckchen reinmachen und das ganze natürlich erstmal mit Calc.exe oder Notepad.exe testen.

Anzeige

- Anzeige -

QuickNick · 18.06.08, 19:39

Danke für den Tipp,
nur leider ist alles schon genau so wie du es gesagt hast.

Mit Notepad / Calc funktioniert es einwandfrei.

**CDW** · 18.06.08, 20:07

Da gibt es mehrere Möglichkeiten: zum einen ist die Winsock.DLL "anders" (eventuell durch irgendwelche "Sicherheitssoftware" verändert?). Zum anderen kann man eine Programmoberfläche auch in eine DLL stecken - wenn die geladen wurde, erscheint die GUI. Zum dritten gibt es TLS Callbacks - eine Möglichkeit, Code auszuführen, noch bevor der eigentliche Code der Executable ausgeführt wird (bitte nicht nach dem tieferen Sinn dieser Möglichkeit des PE-Formats fragen

. ). Um TLS Callbacks zu erwischen eignet sich das Plugin "Olly Advanced" ganz gut. Und natürlich kann es sich um eine Protection handeln, die z.B mittels TLS Callbacks oder DLLs erstmal prüft, ob ein Breakpoint auf dem eigentlichen Entrypoint platziert wurde und je nach Einstellungen diesen nur entfernt (ohne den Debugger zu schließen). Die meisten dieser Möglichkeiten sind nicht ganz so anfängerfreundlich. Eventuell ist die Ursache auch viel simpler (also einfach mal andere Antworten abwarten - aber zur Sicherheit könntest du ja PEID oder RDG verwenden und die Exe nach "Sicherheitsmaßnahmen" scannen).

QuickNick · 18.06.08, 20:17

Nagut, war ja auch nur ein Test. Dann muss ich mir halt was andres suchen.

Vllt hat ja doch noch jemand eine simplere Idee worans liegen könnte.

btw: Mit PEiD hab ich nichts gefunden. Alledings gibts da ja tausende Plugins die ich alle nicht hab

trotzdem Danke CDW

greetz, Nick

Anzeige

- Anzeige -

18.06.08, 19:25	#1 (permalink)
QuickNick Registriert seit: 18.06.08 Likes: 0	[HILFE] Olly startet Prog beim Öffnen Anzeige Hallo, ich habe mir die ersten 7 Tuts von Lena angeschaut und wollte jetzt selber etwas ausprobieren. Ich habe folgendes Problem: Wenn ich das Programm in Olly öffne, wird zuerst ganz normal in der unteren Zeile "Module C: ... " angezeigt, bleibt dann jedoch bei der WSOCK32.dll stehen. Kurz danach öffnet sich das Fenster des Programms. Wenn ich jetzt bei Olly auf Pause drücke oder das Programm schließe, landet Olly bei der ntdll. Meine Fragen sind jetzt: Wie komme ich in den Code des Programms? (Also nicht in die ntdll) Wie kann ich verhindern, dass das Programm ausgeführt wird damit ich mir auch den Code am Anfang Step by Step angucken kann? ThX schonmal greetz Nick

18.06.08, 19:34	#2 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Schau nach, ob unter Debugoptionen (ALT+O) ->Events nur "make first pause on entry Point of main module" markiert ist. Bei der Spalte "Exception" (direkt neben "Events") ersmal überall ein Häckchen reinmachen und das ganze natürlich erstmal mit Calc.exe oder Notepad.exe testen. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

18.06.08, 20:07	#4 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Da gibt es mehrere Möglichkeiten: zum einen ist die Winsock.DLL "anders" (eventuell durch irgendwelche "Sicherheitssoftware" verändert?). Zum anderen kann man eine Programmoberfläche auch in eine DLL stecken - wenn die geladen wurde, erscheint die GUI. Zum dritten gibt es TLS Callbacks - eine Möglichkeit, Code auszuführen, noch bevor der eigentliche Code der Executable ausgeführt wird (bitte nicht nach dem tieferen Sinn dieser Möglichkeit des PE-Formats fragen . ). Um TLS Callbacks zu erwischen eignet sich das Plugin "Olly Advanced" ganz gut. Und natürlich kann es sich um eine Protection handeln, die z.B mittels TLS Callbacks oder DLLs erstmal prüft, ob ein Breakpoint auf dem eigentlichen Entrypoint platziert wurde und je nach Einstellungen diesen nur entfernt (ohne den Debugger zu schließen). Die meisten dieser Möglichkeiten sind nicht ganz so anfängerfreundlich. Eventuell ist die Ursache auch viel simpler (also einfach mal andere Antworten abwarten - aber zur Sicherheit könntest du ja PEID oder RDG verwenden und die Exe nach "Sicherheitsmaßnahmen" scannen). __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Prog aus cpp prog öffnen	rechengeni	Code Kitchen	2	17.09.05 16:18
Problem beim öffnen und speichern in VB	$oul	(In)security allgemein	27	29.05.05 15:28
Bitte um Hilfe beim Prog Abamsoft Faktura Brauche Serial!!!!	Wuzal2004	Virenschutz · Tools & Aggressive Software	4	16.09.04 14:04
beim Öffnen von Videodateien	Blackvirus	Music- & Filmbox	6	03.07.04 18:23
Fenstergröße beim öffnen	TeddyHH	Windows	4	28.08.03 16:40

18.06.08, 19:39	#3 (permalink)
QuickNick Themenstarter Registriert seit: 18.06.08 Likes: 0	Danke für den Tipp, nur leider ist alles schon genau so wie du es gesagt hast. Mit Notepad / Calc funktioniert es einwandfrei.

18.06.08, 20:17	#5 (permalink)
QuickNick Themenstarter Registriert seit: 18.06.08 Likes: 0	Nagut, war ja auch nur ein Test. Dann muss ich mir halt was andres suchen. Vllt hat ja doch noch jemand eine simplere Idee worans liegen könnte. btw: Mit PEiD hab ich nichts gefunden. Alledings gibts da ja tausende Plugins die ich alle nicht hab trotzdem Danke CDW greetz, Nick

[HaBo]

[HILFE] Olly startet Prog beim Öffnen