RE FORUM
[REVERSE ENGINEERING] => Tools => Topic started by: Zodiac on October 08, 2007, 02:25:10 PM
-
By som si dovolil vam ukazat moj skromny, prvy(a asi aj posledny) pluginik do olly :)
Robi to co ste uz z nazvu vydedukovali a este aj viac.
Umoznuje kopirovat vyznacene data z dump okien viacerymi sposobmi:
- export tables pre ASM, C, DELPHI
- export oznacenych bytes do suboru
- export stringov priamo do schranky, uzitocne najma pre rychly pristup k datam pouzitelnych inde (nepodporuje riadiace znaky)
Vsetky staznosti mi mozete posielat sem. :o
-
Musim povedat, ze tento pluginy je popitchi a pre mna je veelmi uzitocny(nieco podobne tomuto pluginu som uz davno hladal :) ). Hlavne som ti vdacny za "export tables pre ASM" - to nema chybu a navyse mi to pri programovani v MASMe usetri vela roboty.. :)
-
aspon ze dakomu sa paci a bude uzitocny :)
-
urobil som maly update, opravil nejake bugy a pridal novu funkciu
range dump , ten umoznuje dumpovat od pociatocnej adresy ku konecnej adrese alebo
pociatocnej adresy do poctu uvedenych bytov + mala vychytavka ako si ulahcit vpisovanie adries
Screeny
-
pekny :)....
-
dalsia mozna idea:
- export tables to VB
-
Ja mam tiez jednu moznu suggestion.. potesilo by ma keby sa dali vyexportovane byty(alebo tiez wordy a dwordy) vyXORovat(pripadne by bolo dobre pridat aj ostatne instrukcie - napr sub,add,neg..)
-
dalsia mozna idea:
- export tables to VB
to ma napadlo, ale osobne nepoznam nikoho kto robi vo VB , takze je to otazka vyuzitelnosti
Ja mam tiez jednu moznu suggestion.. potesilo by ma keby sa dali vyexportovane byty(alebo tiez wordy a dwordy) vyXORovat(pripadne by bolo dobre pridat aj ostatne instrukcie - napr sub,add,neg..)
mno, to by slo , ale k comu by to bolo dobre?
-
ale osobne nepoznam nikoho kto robi vo VB , takze je to otazka vyuzitelnosti
neboj urcite su :) ja osobne to uz raz potreboval a musel som to robit manualne, ripnut blok s pamati, rozdelit ho na DWORD per line, obratit cisla, atd atd ...
apropo, mozno by sa hodila aj funkcia Reverse bytes. standartne by to fungovalo ako teraz ale po zaskrtnuti "Reverse bytes" by exportoval normalne teda blok bytes 0102030405060708:
Normalne (ako teraz):
04030201 08070605 (dword)
Reverse (teda ako ich opticky vidime v pamati)
01020304 05060708 (dword)
-
neboj urcite su :) ja osobne to uz raz potreboval a musel som to robit manualne, ripnut blok s pamati, rozdelit ho na DWORD per line, obratit cisla, atd atd ...
apropo, mozno by sa hodila aj funkcia Reverse bytes. standartne by to fungovalo ako teraz ale po zaskrtnuti "Reverse bytes" by exportoval normalne teda blok bytes 0102030405060708:
Normalne (ako teraz):
04030201 08070605 (dword)
Reverse (teda ako ich opticky vidime v pamati)
01020304 05060708 (dword)
s Edianovitostou by nemal byt problem , ale zase otazka , naco je to dobre, naco to umelo otacat ?
Vacsina dat sa uklada v little endian. Hoci raz som sa stretol s tym ze Rijndael mal key a expanded key ulozeny v pameti vo forme big endian.
K tomu VB , akurat vobec netusim ako take pole vo VB vyzera, takze ak mas nejaky priklad mozes mi ho sem dat, kedze to musi byt kompilovatelne tak to musi byt presne.
-
ok poslem ti dake priklady na PM ....
-
mno, to by slo , ale k comu by to bolo dobre?
Napr sa obcas stava ze nejaka cast kodu je cryptovana jednoduchym XORom.. :)
-
Napr sa obcas stava ze nejaka cast kodu je cryptovana jednoduchym XORom.. :)
ked nad tym tak rozmyslam ten xor funkcia by tam mohla byt uzitocna
-
ked nad tym tak rozmyslam ten xor funkcia by tam mohla byt uzitocna
A taktiez by nebolo odveci hodit aj ostatne instrukcie kt sa vyuzivaju na cryptovanie kodu(napr NEG, SUB, ADD..)
-
neviem, mozno neskor , teraz robim na tom VB a Xore
-
+ export tables to vb
+ xor dump
-
Mam par napadov(navrhov,bug a neviem co este :D ):
1, Mal by si spravit dumpnute byty(wordy,dwordy) ze odstranis ciarky z koncov riadkov...
Napr:
Table \
dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h
Zmenit na:
Table \
dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h
dd 078F0080h, 88888800h
2, Presunut a upravit nazov(meno) bytov(wordov alebo dwordov)
Napr:
Table \
dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h
dd 078F0080h, 88888800h
Zmenit na:
Table dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h
3, Doplnit 0 ak je prvy znak v dworde A,B,C,D,E,F
Napr:
Table dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h
Zmenit na:
Table dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, 0F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, 0F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h
4, Dosadit moznost XORovat priamo do okna s EXPORT TABLE.. To ako si to XORovanie dosadil to tvojho puginu mi pride
zbytocne zdlhave a navyse som asi nasiel bug v tom XORovani.. BUG: Oznacim si nejaku cast pamate kt chcem zdumpovat.
Na tuto cast pamati pouzijem tvoju XOR funkciu(XOR SELECTION...).. Zadam napr 60.. Dam OK.. Objavi sa okno so
XORovanymi bytmi.. Teraz si v nonovytvorenom okne oznacim vyXORovane byty a dam napr EXPORTOVAT byty do ASM TABLE..
V okne pluginu sa zobrazia uplne ine byty ako som povodne oznacil..
-
1 . v com su tie ciarky problem? neskompiluje to asm?
2. to iste s tym nazvom tabulky, je to tak ako to je pretoze to esteticky lepsie vyzera, v com je problem, neskompiluje to?
3. ano, toto by som mal opravit , inac vadilo by ak by som tu 0 pridal pred kazde cislo a nie len pre tie co zacinaju a az f
4. o tom bugu viem , a uz aj viem v com je chyba , to bude tym ze obsah toho okna sa musi vytvorit na disk lebo olly nema pristup k pamati co si alokujem s tym pluginom, a kedze olly automaticky cita oznacene byty z pamate , tak precita pamat toho procesu na tych oznacenych poziciach teda uplne nieco ine , hmm, momentalne netusim co stym
Dosadit moznost XORovat priamo do okna s EXPORT TABLE.. To ako si to XORovanie dosadil to tvojho puginu mi pride
zbytocne zdlhave
myslis ze si das napr "Export to asm" a v tej tabulke pluginu by si si zaklikol aby ti ju Xorol podla nejakej zadanej hodnoty?
a ten "Xor Selection" bol mysleny skor tak ako preview , ze ked vidis ze sa nieco niecim xoruje tak to pouzijes a uvidis dopredu co ti z toho vypadne
-
1 . v com su tie ciarky problem? neskompiluje to asm?
Presne tak - teda aspom moj MASM ma s tym problem(ako je to napr s TASM to neviem lebo som to neskusal).
2. to iste s tym nazvom tabulky, je to tak ako to je pretoze to esteticky lepsie vyzera, v com je problem, neskompiluje to?
Je to tak ako v predchadzajucom pripade - tj neskompiluje to MASM.
3. ano, toto by som mal opravit , inac vadilo by ak by som tu 0 pridal pred kazde cislo a nie len pre tie co zacinaju a az f
Jasne, moze byt pre vsetky cisla(dwordy) - v tom problem nie je.
4. o tom bugu viem , a uz aj viem v com je chyba , to bude tym ze obsah toho okna sa musi vytvorit na disk lebo olly nema pristup k pamati co si alokujem s tym pluginom, a kedze olly automaticky cita oznacene byty z pamate , tak precita pamat toho procesu na tych oznacenych poziciach teda uplne nieco ine , hmm, momentalne netusim co stym
Mohol by si to spravit tak, ze moznost XORovat byty(wordy a dwordy) das az priamo do okna s vyexportovanou tabulkou.
myslis ze si das napr "Export to asm" a v tej tabulke pluginu by si si zaklikol aby ti ju Xorol podla nejakej zadanej hodnoty?
Tak tak.. Presne tak.. ;)
-
som sa na to pozeral , tie ciarky na konci fakt vadia , ale ten nazov mi bere ok
aku mas masm verziu, ja 6.14.8444
-
som sa na to pozeral , tie ciarky na konci fakt vadia , ale ten nazov mi bere ok
aku mas masm verziu, ja 6.14.8444
Ja som zvyknuty mat nazov konstanty zarovno s bytmi(pripadne wordami alebo dwordami). Neviem aku mam verziu.. Ale mam dojem ze verziu 8.2.. Ale nedal by som za to ruku do ohna :D
-
ciarky na konci opravim, 0ly pri dwordoch tiez , ten nazov ponecham a s tym xorom zatial neviem co, ale asi nic
-
ok, takze som opravit tie 2 chyby v ASM tabulke + som dorobil help a pokial nepride nejaky dobry napad alebo sa neobjavi nejaky velky bug tak som s tymto pluginom skoncil na dlhsiu dobu , uz tu toho bolo az az
-
ciarky na konci opravim, 0ly pri dwordoch tiez , ten nazov ponecham a s tym xorom zatial neviem co, ale asi nic
No ako chces ale ja by som tie nazvy mal radsej tak ako som ti pisal - ale je to na tebe ako sa rozhodnes. A ohladne toho XORu by si to mohol nejako poriesit(napr tak ako som ti pisal :) ).. :p
ok, takze som opravit tie 2 chyby v ASM tabulke + som dorobil help a pokial nepride nejaky dobry napad alebo sa neobjavi nejaky velky bug tak som s tymto pluginom skoncil na dlhsiu dobu , uz tu toho bolo az az
No zase az az tolko toho tu nebolo ;) Anyway, tento plugin od teba je fakt dobry a uzitocny.. :)
-
tan napad zo xorom v tabulke sa mi moc nepozdava
No zase az az tolko toho tu nebolo ;) Anyway, tento plugin od teba je fakt dobry a uzitocny.. :)
diky, moc za podporu , tesi ma ze moja praca nebola marna , ale zaujimalo by ma ci si uz pouzil aj nieco ine z neho ako MASM Tabulku , napr. Range Dump
-
diky, moc za podporu , tesi ma ze moja praca nebola marna , ale zaujimalo by ma ci si uz pouzil aj nieco ine z neho ako MASM Tabulku , napr. Range Dump
No bohuzial nie. Ja som si vystacil s tou ASM tabulkou. Ale to nic nemeni na tom, ze je to velmi uzitocny plugin :)
-
Mam malu pripomienku. A sice toto - chcem zdumpovat toto(napriklad):
0040B0D0 64 20 4D 6F 64 d Mod
Plugin vyhodi pre BYTE toto:
db 064h, 020h, 04Dh, 06Fh, 064h
Pre WORD:
dw 02064h, 06F4Dh
Pre DWORD:
dd 06F4D2064h,
WORD a DWORD je chybne - asi to bude sposobene tym ze pocet bytov je neparny(chyba tam ten "nadbytocny byte")
co by asi trebalo nejakym sposobom osetrit.
-
viem ze to je useknute len ma v tedy nenapadlo ze sa to da urobit asi takto:
Pre WORD:
dw 02064h, 06F4Dh, 00064h
DWORD:
dd 06F4D2064h, 000000064h
pri dworde som zabudol odstranit tu ciarku
neviem ci sa este k tomu po roku vratim a ci sa vobec vysomarim z toho mojho zdrojaku :)
-
BTW: Uz pred tebou(mam dojem ze v roku 2006) vysiel takyto plugin - su dost podobne :)
http://tuts4you.com/download.php?view.42
-
viem ten je dobry, povodna pointa toho mojho bolo ze som si potreboval casto kopirovat rychlo bez zbytocnych klikov stringy z dumpu a na to vtedy nebol ziadny plugin(mozno ani teraz) , potom som uz len dalej na to nabaloval vselico
-
Ja som zvyknuty mat nazov konstanty zarovno s bytmi(pripadne wordami alebo dwordami). Neviem aku mam verziu.. Ale mam dojem ze verziu 8.2.. Ale nedal by som za to ruku do ohna :D
Pozor, michas tady verzi ML.EXE a baliku MASM32 (celkem castej problem, protoze nazev MASM32 pro balik nastroju fakt neni nejlepsi). MASM32 je aktualne ve verzi 10, ale ML.EXE uvnitr je 6.14 (z licencnich duvodu). Jinak nejnovejsi ML.EXE je ve verzi 9.x (takze se to zase pekne plete s verzi MASM32).
Sorry za OT.
-
Tak tento tyzden mi tento sikovny plugin usetril brutalnu kopu prace, ked som extrahoval povodne exace z roznych smejdovych protektorov.
Zaradujem ho povinne do Ollyho.
aeon: Inak by nebolo na skodu ho sem opat attachnut (upravit prvy prispevok a vlozit ho tam), kedze sa vsetky prilohy pri exporte odpalili.
-
heh, som rad ze sa aj tebe pozdava :)
mna ani netrklo ze ked sa prestahovalo forum tak vsetky prilohy su fuc, do prveho prispevku ho davat nebudem, bolo by to dost odveci , tak aspon supnem ten povodny zip aj s popisom
-
update:
urobil som par zmien , nejake veci pridal , nieco opravil, nieco neopravil ???
davam to sem(ak ma este niekto zaujem) skor na testing purposes
vsetko podstatne(ak nieco) piste sem
-= Memory Dump 0.9a for Olly Debugger by AeoN =-
-==============================================-
Installation
============
Copy plugin into Olly's plugin directory.
Usage & Help
============
Plugin is intended to save/load bytes from momory dump window of the process in
various forms. In the dump window right click and select 'Memory Dump' in the popup menu
pick your choice.
Possible choices are:
- Load Dump
Allows to fill process' memory with data from a file. (Be sure what you are
doing, overwriting the process memory may cause you a lot of trouble.)
- Save Dump
Copies selected bytes from dump into a file.
- Clipboard(Text)
Copies selected bytes from dump into a clipboard (text only).
- Delphi/Pascal Table
Generates table of selected bytes which can be easily used in Delphi/Pascal
- C/C++ Table
Generates table of selected bytes which can be easily used in C/C++
- ASM Table
Generates table of selected bytes which can be easily used in Assembler
(MASM Tested)
- Visual Basic Table
Generates table of selected bytes which can be easily used in Visual Basic
- Range Dump (ALT+R)
Dumps Range of defined bytes by:
- Lenght : Tick End Address/Lenght
- End Address : Untick End Address/Lenght
Xor Dump With: Self-explanatory
Button with [<] symbol enters address of last byte clicked(not selected) in the dump,
it's more convenient than entering addresses manually.
- Xor Selection
Xors Selection and shows dumped data in Olly's window. This window cannot be used
for another byte manipulation with plugin because dump is created in your Win's
temporary folder and not in memory.
- Quick Dump (ALT+Q)
Allows quickly select and dump data, mark the start(SHIFT+1) and the end(SHIFT+2) of
the block in dump window, then just press (ALT+Q).
What's new
==========
v0.91 - [Aug. 2009]
- load data into process from file
- bug in Range Dump fixed (the bug caused selection dump to be shorter by one byte)
- shortcut key (ALT+R) for Range Dump
- shortcut keys (SHIFT+1) and (SHIFT+2) for block selection
- fast dump(ALT+Q)
History
=======
v0.9 - [Dec. 2007]
- 2 bugs in ASM Table fixed
v0.8 - [Nov. 2007]
+ Xor Selection
+ Visual Basic Table
+ Updated Range Dump With Xor
- Removed bug which allocated space in memory
v0.7 - [Nov. 2007]
+ Updated Range Dump Again
v0.6 - [Nov. 2007]
+ Updated Range Dump
v0.5 - [Nov. 2007]
+ Range Dump
- Bug Fixed
v0.4 - [Oct. 2007]
+ ASM Table
v0.3 - [Sept. 2007]
+ Delphi/Pascal Table
+ C/C++ Table
+ Version for Immunity Debugger
v0.2 - [Sept. 2007]
+ Copies Selected Strings form Dump Window into clipboard
+ Version for Immunity Debugger
v0.1 - [July 2007] - Initial Private Build
+ Copies Selected Strings form Dump Window into a file
Warning:
========
Plugin does not perform space check so be sure what you are doing when
loading data into memory(have in mind size of the file too), also be
sure not to cross memory blocks otherwise olly doesn't import anything.
Another possible reason of not loading data is because targeted memory
block may be read-only.
Thanks to
=========
DARKER - for VB table specification
pr0p4g4nd4 and eraser - for pointing out some bugs
Contact
========
comer@mail2expert.com
-
popichi starec!
-
By som si dovolil vam ukazat moj skromny, prvy(a asi aj posledny) pluginik do olly :)
Robi to co ste uz z nazvu vydedukovali a este aj viac.
Umoznuje kopirovat vyznacene data z dump okien viacerymi sposobmi:
- export tables pre ASM, C, DELPHI
- export oznacenych bytes do suboru
- export stringov priamo do schranky, uzitocne najma pre rychly pristup k datam pouzitelnych inde (nepodporuje riadiace znaky)
Vsetky staznosti mi mozete posielat sem. :o
A kde najdem teraz ten plugin po 2 rokoch od zalozenia temy? :)
-
najnovsi najdes ked sa pozres o tri prispevky vyssie a dobre sa zahladis na koniec mojho prispevku ale uznavam ze by sa tomu hodilo nejake viditelnejsie miesto