Hackerboard WikiHaboBlog

[HaBo]

 
Hacks & Crackmes Tests, Fragen oder Hilfestellungen. Crackmes und Hackits werden hier diskutiert.

OllyDBG Noobfrage

Diskussion: OllyDBG Noobfrage im Forum Hacks & Crackmes, in der Kategorie Software Home; Hey Leute, beschäftige mich seit mehreren Tagen mit CrackMe's, und habe bei crackmes.de bis jetzt alle auf der Schwierigkeitsstufe leicht ...
Antwort
Themen-Optionen Ansicht
   
Alt 25.05.09, 13:01   #1 (permalink)
 
Registriert seit: 04.01.07
mabazzer Leistung: Facit NTK
Likes: 0
Standard OllyDBG Noobfrage


Hey Leute,
beschäftige mich seit mehreren Tagen mit CrackMe's, und habe bei crackmes.de bis jetzt alle auf der Schwierigkeitsstufe leicht hinbekommen (wenn auch nicht durch KeyGennen sondern durch JMP's adden/verändern).

Nun möchte ich die Serial fishen und es wird ein strcmp aufgerufen.

Hierbei wird zuerst ECX, dann EDX gepusht. Das heißt ja, dass die beiden dann verglichen werden.

Um an die Serial zu kommen habe ich also mein Programm laufen lassen und bei der MessageBox "Falsche Serial" mir den Register Dump geholt.

Code:
EAX 77C58BFC msvcrt.77C58BFC
ECX 77C1BE0A msvcrt.__isascii
EDX 71AC2D00 WS2_32.71AC2D00
EBX 00000000
ESP 0012EFEC
EBP 0012F0E0
ESI 00000000
EDI 00000000
EIP 7C90E4F4 ntdll.KiFastSystemCallRet
C 0  ES 0023 32bit 0(FFFFFFFF)
P 1  CS 001B 32bit 0(FFFFFFFF)
A 0  SS 0023 32bit 0(FFFFFFFF)
Z 1  DS 0023 32bit 0(FFFFFFFF)
S 0  FS 003B 32bit 7FFDE000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_SUCCESS (00000000)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty 0.0000000000000001130e-4933
ST1 empty 0.0000000138968235610e-4933
ST2 empty 5.9220220632118094420e-4932
ST3 empty 0.0000000000000012650e-4933
ST4 empty -9.3531842717093266090e-4587
ST5 empty -UNORM?CD7C?00000000?E15F11B0
ST6 empty -7.1999247099217097660e-1964
ST7 empty 5.9220220640317769120e-4932
               3 2 1 0      E S P U O Z D I
FST 0000  Cond 0 0 0 0  Err 0 0 0 0 0 0 0 0  (GT)
FCW 027F  Prec NEAR,53  Mask    1 1 1 1 1 1
Nun sind bei EDX und ECX ja relative Adressen in Hexdarstellung. Wie komme ich da jetzt an den String?

Liebe Grüße,
mab
mabazzer ist offline   Mit Zitat antworten
Alt 25.05.09, 13:29   #2 (permalink)
CDW
Moderator
 
Benutzerbild von CDW
 
Registriert seit: 20.07.05
CDW Leistung: OpteronCDW Leistung: OpteronCDW Leistung: OpteronCDW Leistung: OpteronCDW Leistung: Opteron
Likes: 156
Standard RE: OllyDBG Noobfrage
Zitat:
Original von mabazzer
Um an die Serial zu kommen habe ich also mein Programm laufen lassen und bei der MessageBox "Falsche Serial" mir den Register Dump geholt.
Du brauchst erstmal die Registerwerte vor dem strcmp Aufruf. Denn danach kann in diesen "sonstwas" stehen [1]

Zitat:
Nun sind bei EDX und ECX ja relative Adressen in Hexdarstellung. Wie komme ich da jetzt an den String?
Rechtsklick auf das Register -> "Follow in Dump". Dumpfenster ist per Default unten links. Eventuell noch die richtige Ansicht einstellen (Rechtsklick, Hex->ASCII bzw. bei Unicode "UNICODE").


[1]die üblichen Callingconventions: stdcall,cdecl dürfen EAX,ECX,EDX Werte verändert zurückgeben.
http://en.wikipedia.org/wiki/X86_cal...ntions#stdcall
d.h die Werte nach dem Aufruf können irgendwelche internen Zustände der Funktion sein.
__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.
CDW ist offline   Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 25.05.09, 14:18   #3 (permalink)
Themenstarter
 
Registriert seit: 04.01.07
mabazzer Leistung: Facit NTK
Likes: 0
Standard
Danke, mit dem Breakpoint davor wurde das PW auch schon im Register im ASCII code angezeigt

So langsam krieg ich den Dreh raus
mabazzer ist offline   Mit Zitat antworten
Antwort
   

Werbung ist gerade online    

[HaBo] » Software Home » Hacks & Crackmes » OllyDBG Noobfrage
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Ollydbg Bug? mauralix Hacks & Crackmes 6 18.04.09 14:58
Commodore 64 OllyDBG IDA etc. questioneer Applikationen 0 27.02.08 17:05
Anfängerfragen zu OllyDbg Chrisimo Hacks & Crackmes 10 13.10.06 10:44
OllyDbg Arthi Applikationen 3 12.10.04 20:53

Alle Zeitangaben in WEZ +1. Es ist jetzt 04:38 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61