![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo,
ich bin relativ neu hier und habe schon viele Beiträge interessiert verfolgt.
Da ich nun doch unendlich viele Fragen habe, habe ich mich direkt bei Euch angemeldet. Manche Tutorials habe ich nachgemacht und somit etwas geübt.
Dennoch empfinde ich es noch als sehr schwer, denn sobald eine Kleinigkeit geändert wird, funktionieren 1:1 Tipps nicht mehr. Ja, die liebe Logik und das nette Verständnis. Nichtsdestotrotz quetsche ich Euch einmal aus und hoffe sehr, dass man mir bei meinen kuriosen Fragen weiterhelfen kann.
Ich schieße gleich einmal los: (Achtung: Unterschiedliche Fragen/Themen)
1.) OllyDBG + Net + 32-Bit-Problematik:
Wie kann man eine (vermutlich .Net) Anwendung, die offensichtlich (PEID, CFF Explorer, PEExplorer, LordPE, Eigenschaften usw.) 32-BIT (fähig) ist,
erfolgreich in OllyDBG laden und analysieren bzw. den ASM-Code anschauen, wenn die Anwendung schon beim laden in OllyDBG gestartet wird und behauptet, dass es eine nicht zulässige WIN32-Anwendung ist?
Der Witz:
Dies alles in einer fremden OS-Umgebung!
Soll heißen: Das Programm wurde für Windows 7 bzw. WIndows 8 entwickelt, soll aber erst einmal nur in Windows XP analysiert werden.
Ja, wie gehe ich da intelligent vor?
Benötigte Frameworks, Runtimes, .dll und Treiber wurden nicht nur in den Programmordner kopiert, sondern auch ins Systemverzeichnis verschoben bzw. Systemdaten erfolgreich "aktualisiertt".
Im Grunde geht es mir erst einmal darum, das Programm in Olly laden und anschauen zu können. Mich interessiert nämlich die Abfrage (OS/SP usw.).
Also der Check (minor, major, os, sp usw.).
Wie geht dies?
Natürlich habe ich bei den OllyDBG-Einstellungen auch den Haken bei "Break on new module (dll)" gesetzt. Dies bringt aber nichts. Im Forum habe ich herauslesen können, dass dies bei .Net Anwendungen wohl nicht so einfach geht und eine .dll das Programm startet oder? Wie gehe ich da vor?
Wieso erscheint denn die Meldung, dass es keine zulässige Win32-Anwendung ist, wenn das OS nicht passt? Also was haben denn Vista, Seven, 8 usw. mit der 32-Bit-Kompatibilität zu tun?
Testweise habe ich das Programm beim Kumpel gestartet und dort läuft es unter 32-BIT hervorragend. Der Kumpel benutzt halt Vista bzw. 7 32-Bit.
ExeInfo schreibt:
Microsoft Visual C++ 9.0-Visual Studio 2008 (E8)-no sec.CAB [*WinVista]
PeExplorer:
-Authenticode Signature (da stehen ein paar Einträge)
-Export (Einträge)
-Import (Einträge)
-DelayImport (Einträge)
-Section Headers (.text, .rdata, .data, .rsrc, .reloc)
Ich hoffe sehr, dass dies genügend Infos waren.
Wie gesagt:
Ich würde gerne die .exe einfach in OllyDBD laden, mir den Code
anzeigen lassen, zu "GetVersion..." oder der "MSGBOX" springen, reversen
und dann die OS-Abfrage umgehen usw. Zumindest habe ich dies bei anderen Programmen erfolgreich "so" umgesetzt.
Danke
P.S.
IDAPro (Demo) habe ich mir schon geladen. Es bringt aber nichts, da IdaPro zwar das
Programm laden, aber eben nicht starten kann. AUch bei IdaPro erscheint die Meldung,
dass es keine zulässige Win32-Anwendung ist.
Klärt mich einmal auf, was denn der OS-Check (Vista, XP, ME, 2k, 7, 8 usw.) mit
32/64 zu tun hat, wenn es eine 32-Bit-Software ist, die nur das OS und nicht 32/64
prüft?
ich bin relativ neu hier und habe schon viele Beiträge interessiert verfolgt.
Da ich nun doch unendlich viele Fragen habe, habe ich mich direkt bei Euch angemeldet. Manche Tutorials habe ich nachgemacht und somit etwas geübt.
Dennoch empfinde ich es noch als sehr schwer, denn sobald eine Kleinigkeit geändert wird, funktionieren 1:1 Tipps nicht mehr. Ja, die liebe Logik und das nette Verständnis. Nichtsdestotrotz quetsche ich Euch einmal aus und hoffe sehr, dass man mir bei meinen kuriosen Fragen weiterhelfen kann.
Ich schieße gleich einmal los: (Achtung: Unterschiedliche Fragen/Themen)
1.) OllyDBG + Net + 32-Bit-Problematik:
Wie kann man eine (vermutlich .Net) Anwendung, die offensichtlich (PEID, CFF Explorer, PEExplorer, LordPE, Eigenschaften usw.) 32-BIT (fähig) ist,
erfolgreich in OllyDBG laden und analysieren bzw. den ASM-Code anschauen, wenn die Anwendung schon beim laden in OllyDBG gestartet wird und behauptet, dass es eine nicht zulässige WIN32-Anwendung ist?
Der Witz:
Dies alles in einer fremden OS-Umgebung!
Soll heißen: Das Programm wurde für Windows 7 bzw. WIndows 8 entwickelt, soll aber erst einmal nur in Windows XP analysiert werden.
Ja, wie gehe ich da intelligent vor?
Benötigte Frameworks, Runtimes, .dll und Treiber wurden nicht nur in den Programmordner kopiert, sondern auch ins Systemverzeichnis verschoben bzw. Systemdaten erfolgreich "aktualisiertt".
Im Grunde geht es mir erst einmal darum, das Programm in Olly laden und anschauen zu können. Mich interessiert nämlich die Abfrage (OS/SP usw.).
Also der Check (minor, major, os, sp usw.).
Wie geht dies?
Natürlich habe ich bei den OllyDBG-Einstellungen auch den Haken bei "Break on new module (dll)" gesetzt. Dies bringt aber nichts. Im Forum habe ich herauslesen können, dass dies bei .Net Anwendungen wohl nicht so einfach geht und eine .dll das Programm startet oder? Wie gehe ich da vor?
Wieso erscheint denn die Meldung, dass es keine zulässige Win32-Anwendung ist, wenn das OS nicht passt? Also was haben denn Vista, Seven, 8 usw. mit der 32-Bit-Kompatibilität zu tun?
Testweise habe ich das Programm beim Kumpel gestartet und dort läuft es unter 32-BIT hervorragend. Der Kumpel benutzt halt Vista bzw. 7 32-Bit.
ExeInfo schreibt:
Microsoft Visual C++ 9.0-Visual Studio 2008 (E8)-no sec.CAB [*WinVista]
PeExplorer:
-Authenticode Signature (da stehen ein paar Einträge)
-Export (Einträge)
-Import (Einträge)
-DelayImport (Einträge)
-Section Headers (.text, .rdata, .data, .rsrc, .reloc)
Ich hoffe sehr, dass dies genügend Infos waren.
Wie gesagt:
Ich würde gerne die .exe einfach in OllyDBD laden, mir den Code
anzeigen lassen, zu "GetVersion..." oder der "MSGBOX" springen, reversen
und dann die OS-Abfrage umgehen usw. Zumindest habe ich dies bei anderen Programmen erfolgreich "so" umgesetzt.
Danke
P.S.
IDAPro (Demo) habe ich mir schon geladen. Es bringt aber nichts, da IdaPro zwar das
Programm laden, aber eben nicht starten kann. AUch bei IdaPro erscheint die Meldung,
dass es keine zulässige Win32-Anwendung ist.
Klärt mich einmal auf, was denn der OS-Check (Vista, XP, ME, 2k, 7, 8 usw.) mit
32/64 zu tun hat, wenn es eine 32-Bit-Software ist, die nur das OS und nicht 32/64
prüft?
Zuletzt bearbeitet: