[HaBo]

Offset · 20.07.08, 18:39

Hallo,
Ist vieleicht nicht der passenste Header, sorry.

Also ich habe da mal ein Problem, ich benutze OllyDbg v 1.10 um ein bisschen Code eines Spieles nach zu vollziehen( suche eine statische Adresse ), mit Schema F:

Code:

mov [eax+24], value
      |
      v
      mov eax, [ecx+8]
                 |
                 v
                 and ecx, ebx
                           |
                           v
                           ...

Letzt endlich komme ich dann auf folgenden Ausdruck:
// Funktion xy
sub esp, 1C
mov edi, [esp+24]
...

ESP wird gesucht, hm... wie aber finde ich heraus wo esp gesetzt wird?
Hoffe ihr könnt mir da helfen.

Gruß Tobi.

Eydeet · 20.07.08, 20:27

Der Stackpointer wird nie richtig "gesetzt", er ändert sich während der gesamten Laufzeit immer, wenn Werte mit push/pop hinzugefügt oder entfernt werden. Dein Wert wird sich auch nicht immer an dieser Stelle befinden.

Du musst also die Stelle finden, an der der Wert permanent gespeichert ist (also von wo er gelesen/nach wo er geschrieben wird).

Für so was sind Memory Searcher (TSearch/Cheat Engine) praktisch. Cheat Engine kann automatisch nach Pointern suchen. Alternativ könntest du nach Speicherstellen, an denen die Adresse deiner Variablen gespeichert sind suchen. Du erhältst dann eine Liste mit Werten, die Pointer sein könnten. Cheat Engine bringt ein schönes Tutorial zu dem Thema mit.

Mit Olly ist das bestimmt auch möglich, da habe ich aber nicht so die Erfahrung mit. Meistens geht es mit Cheat Engine schneller.

Anzeige

- Anzeige -

Offset · 20.07.08, 21:41

Mir sind diese Methoden durch aus bekannt, würde mich halt brennend interessieren wie ich das mit Olly mache.

Gruß Tobi

Anzeige

- Anzeige -

20.07.08, 18:39	#1 (permalink)
Offset Registriert seit: 08.07.07 Likes: 0	Wie findet man heraus wo der stackpointer gesetzt wird? HELP! Anzeige Hallo, Ist vieleicht nicht der passenste Header, sorry. Also ich habe da mal ein Problem, ich benutze OllyDbg v 1.10 um ein bisschen Code eines Spieles nach zu vollziehen( suche eine statische Adresse ), mit Schema F: Code: mov [eax+24], value \| v mov eax, [ecx+8] \| v and ecx, ebx \| v ... Letzt endlich komme ich dann auf folgenden Ausdruck: // Funktion xy sub esp, 1C mov edi, [esp+24] ... ESP wird gesucht, hm... wie aber finde ich heraus wo esp gesetzt wird? Hoffe ihr könnt mir da helfen. Gruß Tobi.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Cookie wird gesetzt,Cookielänge aber 0	sw33tlull4by	(Web-) Design und webbasierte Sprachen	0	19.08.09 16:20
Hook wird nicht gesetzt, wieso?	Offset	Code Kitchen	8	18.07.07 07:55
Wie bekomm ich Hashes heraus?	Hackerboy93	(In)security allgemein	30	27.05.07 17:14
Wie bekomm ich Hashes heraus?	Hackerboy93	Hacks & Crackmes	13	24.05.07 22:44
ftp aus Netzwerk heraus!?!	RonnY_230883	Network · LAN, WAN, Firewalls	4	02.09.05 19:25

20.07.08, 20:27	#2 (permalink)
Eydeet Registriert seit: 14.04.06 Likes: 4	Der Stackpointer wird nie richtig "gesetzt", er ändert sich während der gesamten Laufzeit immer, wenn Werte mit push/pop hinzugefügt oder entfernt werden. Dein Wert wird sich auch nicht immer an dieser Stelle befinden. Du musst also die Stelle finden, an der der Wert permanent gespeichert ist (also von wo er gelesen/nach wo er geschrieben wird). Für so was sind Memory Searcher (TSearch/Cheat Engine) praktisch. Cheat Engine kann automatisch nach Pointern suchen. Alternativ könntest du nach Speicherstellen, an denen die Adresse deiner Variablen gespeichert sind suchen. Du erhältst dann eine Liste mit Werten, die Pointer sein könnten. Cheat Engine bringt ein schönes Tutorial zu dem Thema mit. Mit Olly ist das bestimmt auch möglich, da habe ich aber nicht so die Erfahrung mit. Meistens geht es mit Cheat Engine schneller.

20.07.08, 21:41	#3 (permalink)
Offset Themenstarter Registriert seit: 08.07.07 Likes: 0	Mir sind diese Methoden durch aus bekannt, würde mich halt brennend interessieren wie ich das mit Olly mache. Gruß Tobi

[HaBo]

Wie findet man heraus wo der stackpointer gesetzt wird? HELP!