Witam. Czy ktoś może wie z jakiego powodu nie mogę otworzyć programu w olydbg?
Może masz za starego Windowsa? </trololo>
Więcej szczegółów by się przydało, włącznie z opisaniem tego co się dzieje przy otwieraniu czy opisaniem czegokolwiek co ukrywasz pod pojęciem "nie mogę otworzyć".
Nie, inne programy mogę otworzyć, więc wina nie leży po stronie windowsa. Po prostu nic się nie dzieje. W pasku u góry wyskakuje nazwa programu, ale w Executable Modules nic nie ma.
Może proces ollydbg nie ma uprawnień do grzebania w procesie w którym chcesz grzebać?
A jak to zmienić?
Odpal ollydbg jako administrator. Z góry uprzedzam, że z ollydbg miałem bardzo niewiele do czynienia, więc to jest bardzo losowa porada.
Mam win XP i jestem na administratorze... Coś musi być nie tak z tym programem.
Chodzi mi o kliknięcie PPM na ikonce OllyDbg i wybranie "uruchom jako administrator". W którychś tam wersjach Windowsa na pewno jest taka opcja.
http://plom.pl/uruchamianie-wiersza-polecen-jako-administrator-win-7/
W win XP nie ma ; ] Mimo wszystko jest to uruchomione jako użytkownik z prawami administratora i to nie działa. Myślę, że ten program ma na Sobie jakąś blokadę.
Napisz do autora :P
Pisałem xD Mówił, że jest to celowo zrobione, a ominięcie tego zajmuje 3 min xD
Sprawdzałeś czy program, który chcesz debugować jest czymś spakowany?
Nie, jest to plik exe.
omg -,- sprawdź programem PEiD (lub temu podobne) czy nie został użyty jakiś standardowy binder, który przy okazji ma jakieś zabezpieczenia przeciwko podpinaniu debugera.
Wrzuć plik gdzieś i prześlij linka.
Jak można to sprawdzić programem PEiD?
Normalnie otworzyć w tym programie i na dole nad przyciskami będzie napisane czym ewentualnie był kompresowany /szyfrowany exe.
Zazwyczaj programy są kompresowanie przez upx lub aspack. Można otworzyć exe'ka notatnikiem i poszukać UPX lub aspack. Polecam serie videotutoriali ReverseCraft autorstwa Gynvaela: , szczególnie odcinek ReverseCraft #4 - Narzędzia i analiza.
Posiadam XVI32 :D Nie, nie ma tam żadnej wzmianki o UPX, ani aspack.
http://www.dropmocks.com/mE86-Q Takie coś xd
http://www.dropmocks.com/mE06R4
Do tego pliku .exe jest dołączona pewna .dll, lecz nie wiem czy to ma na to jakiś wpływ.
Nie jest niczym pakowany czyli wygląda na to, że jest jakieś autorskie zabezpieczenie, albo nie potrafisz posługiwać się Ollym, bez pliku niewiele można powiedzieć.
Jest to jakieś jak to powiedziałeś "autorskie zabezpieczenie", lecz niestety nie wiem jak je pominąć. Takie rzeczy się robi w olly, a tutaj nawet to nie działa.. xD
Nie miałeś pojęcia o istnieniu PEID, na sugestie że plik jest spakowany odpisujesz że to exe, tak jakby nie można było pakować plików wykonywalnych, a UPX powstał wczoraj przez przypadek. Ale z pewnością oznajmiasz, że to autorskie zabezpieczenie. Jeżeli oczekujesz konkretnej pomocy to spakuj exeka i wymaganą dllke do archiwum, wrzuć tutaj jako załącznik do posta. To ktoś pewnie spojrzy i coś bardziej wiarygodnego napisze o tym. Bo tak kreujesz się na drugiego wróżbitę Macieja z uprawnieniami na sztaplarkę i zaliczonym korspondencyjnym kursem z podstaw zagadnień inżynierii wstecznej. Także niewiele sam wywróżysz w tym temacie. Zawłaszcza, że jeśli mnie pamięć nie myli zadawałeś pytania o banalne podstawy przy okazji postów na temat problemów z programowaniem w obiektowym pascalu, także... :/
Uruchom program w deasemblerze i sprawdź czy widnieje funkcja http://msdn.microsoft.com/en-us/library/windows/desktop/ms680345%28v=vs.85%29.aspx
jesli tak i jest po nim porownanie test al,al jnz zmien w hexedytorze jnz na jz wtedy prawdopodobnie nie uruchomisz jej normalnie ale bedzie sie dalo w debugerze i w debugerze bedziesz musial to odpowiednio pozamieniac zeby dzialalo w obu przypadkach
To chyba najprostsze zabezpieczenie;d
W deasemblerze się nie uruchamia programów a zabezpieczenie funkcją IsDebuggerPresent to najprostsza rzecz do złamania (z tego co pamiętam chyba był nawet jakiś plugin do tego który automatycznie sobie z tym radził) ale ma się nijak do opisanej sytuacji (choć nie wykluczone że ono jest także stosowane ale w połączeniu z czymś innym). Gdyby to było tego typu zabezpieczenie program by utrudniał jego debugowanie już po jego rozpoczęciu a nie (z tego co rozumiem opisaną sytuację) uniemożliwiał jak gdyby poprawne załadowanie pliku do debuggera i rozpoczęcie debugowania. Nie mniej jednak bez pliku wszelkie wywody na temat przyczyny raczej nie mają sensu, bo chyba nikt nie umie wróżyć z fusów. Zerknij na LOG (View -> Log) i tutaj pokaż być może tam jest coś ciekawego.
Tak jak poprzednicy pisali, znacznie łatwiej byłoby coś doradzić gdybyś załączył exeka ze wszystkimi niezbędnymi plikami, a najlepiej całą instalkę. Jeśli nie ma takiej możliwości to opisz dokładniej co masz na myśli pisząc "nie mogę otworzyć programu w olydbg". Rozumiem, że próbujesz otworzyć plik z menu File -> Open, ale co dzieje się dalej? Olly zaczyna analizować exeka i się zawiesza/zamyka, czy dopiero jak dasz F9 (strzałka - run debugged application) to aplikacja się nie uruchamia?
Jakiej wersji OllyDbg używasz? Masz jakieś dodatki do ukrywania debuggera np. Olly Advanced, PhantOm, StrongOD?
@DroniC: żal się w człowieku budzi jak czyta się ten wątek.
Człowiek który nie wie co to UPX próbuje uruchomić debuggera...
BTW, tekst "UPX" można w EXE-ku schować, ale AFAIR program PEiD i tak go wykryje.