Author Topic: Ollydbg - Memory Dump (Read 2811 times)

Zodiac · « **Reply #15 on:** November 26, 2007, 01:42:40 PM »

+ export tables to vb
+ xor dump

pr0p4g4nd4 · « **Reply #16 on:** December 05, 2007, 09:00:43 AM »

Mam par napadov(navrhov,bug a neviem co este

):

1, Mal by si spravit dumpnute byty(wordy,dwordy) ze odstranis ciarky z koncov riadkov...
Napr:

Table \
dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h

Zmenit na:

Table \
dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h
dd 078F0080h, 88888800h

2, Presunut a upravit nazov(meno) bytov(wordov alebo dwordov)

Napr:

Table \
dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h
dd 078F0080h, 88888800h

Zmenit na:

Table dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h

3, Doplnit 0 ak je prvy znak v dworde A,B,C,D,E,F

Napr:

Table dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h

Zmenit na:

Table dd 00007077h, 00000000h, 00000000h, 00700000h, 00707700h, 00000000h, 00000000h, 8F0F0000h,
dd 0077008Fh, 70070000h, 77707707h, 0F8F80800h, 7007F8F8h, 77000000h, 07700000h, 8F8F8F70h,
dd 70808F8Fh, 00700000h, 70007777h, 0F8F88870h, 77F0F8F8h, 00000000h, 00000000h, 8F8F8F08h,
dd 078F0080h, 88888800h

4, Dosadit moznost XORovat priamo do okna s EXPORT TABLE.. To ako si to XORovanie dosadil to tvojho puginu mi pride
zbytocne zdlhave a navyse som asi nasiel bug v tom XORovani.. BUG: Oznacim si nejaku cast pamate kt chcem zdumpovat.
Na tuto cast pamati pouzijem tvoju XOR funkciu(XOR SELECTION...).. Zadam napr 60.. Dam OK.. Objavi sa okno so
XORovanymi bytmi.. Teraz si v nonovytvorenom okne oznacim vyXORovane byty a dam napr EXPORTOVAT byty do ASM TABLE..
V okne pluginu sa zobrazia uplne ine byty ako som povodne oznacil..

Zodiac · « **Reply #17 on:** December 05, 2007, 09:43:48 AM »

1 . v com su tie ciarky problem? neskompiluje to asm?
2. to iste s tym nazvom tabulky, je to tak ako to je pretoze to esteticky lepsie vyzera, v com je problem, neskompiluje to?
3. ano, toto by som mal opravit , inac vadilo by ak by som tu 0 pridal pred kazde cislo a nie len pre tie co zacinaju a az f
4. o tom bugu viem , a uz aj viem v com je chyba , to bude tym ze obsah toho okna sa musi vytvorit na disk lebo olly nema pristup k pamati co si alokujem s tym pluginom, a kedze olly automaticky cita oznacene byty z pamate , tak precita pamat toho procesu na tych oznacenych poziciach teda uplne nieco ine , hmm, momentalne netusim co stym

Quote

Dosadit moznost XORovat priamo do okna s EXPORT TABLE.. To ako si to XORovanie dosadil to tvojho puginu mi pride
zbytocne zdlhave

myslis ze si das napr "Export to asm" a v tej tabulke pluginu by si si zaklikol aby ti ju Xorol podla nejakej zadanej hodnoty?

a ten "Xor Selection" bol mysleny skor tak ako preview , ze ked vidis ze sa nieco niecim xoruje tak to pouzijes a uvidis dopredu co ti z toho vypadne

pr0p4g4nd4 · « **Reply #18 on:** December 05, 2007, 11:52:02 AM »

Quote from: aeon

1 . v com su tie ciarky problem? neskompiluje to asm?

Presne tak - teda aspom moj MASM ma s tym problem(ako je to napr s TASM to neviem lebo som to neskusal).

Quote from: aeon

2. to iste s tym nazvom tabulky, je to tak ako to je pretoze to esteticky lepsie vyzera, v com je problem, neskompiluje to?

Je to tak ako v predchadzajucom pripade - tj neskompiluje to MASM.

Quote from: aeon

3. ano, toto by som mal opravit , inac vadilo by ak by som tu 0 pridal pred kazde cislo a nie len pre tie co zacinaju a az f

Jasne, moze byt pre vsetky cisla(dwordy) - v tom problem nie je.

Quote from: aeon

4. o tom bugu viem , a uz aj viem v com je chyba , to bude tym ze obsah toho okna sa musi vytvorit na disk lebo olly nema pristup k pamati co si alokujem s tym pluginom, a kedze olly automaticky cita oznacene byty z pamate , tak precita pamat toho procesu na tych oznacenych poziciach teda uplne nieco ine , hmm, momentalne netusim co stym

Mohol by si to spravit tak, ze moznost XORovat byty(wordy a dwordy) das az priamo do okna s vyexportovanou tabulkou.

Quote from: aeon

myslis ze si das napr "Export to asm" a v tej tabulke pluginu by si si zaklikol aby ti ju Xorol podla nejakej zadanej hodnoty?

Tak tak.. Presne tak..

Zodiac · « **Reply #19 on:** December 05, 2007, 12:18:51 PM »

som sa na to pozeral , tie ciarky na konci fakt vadia , ale ten nazov mi bere ok
aku mas masm verziu, ja 6.14.8444

pr0p4g4nd4 · « **Reply #20 on:** December 05, 2007, 05:53:55 PM »

Quote from: aeon

som sa na to pozeral , tie ciarky na konci fakt vadia , ale ten nazov mi bere ok
aku mas masm verziu, ja 6.14.8444

Ja som zvyknuty mat nazov konstanty zarovno s bytmi(pripadne wordami alebo dwordami). Neviem aku mam verziu.. Ale mam dojem ze verziu 8.2.. Ale nedal by som za to ruku do ohna

Zodiac · « **Reply #21 on:** December 06, 2007, 11:19:30 AM »

ciarky na konci opravim, 0ly pri dwordoch tiez , ten nazov ponecham a s tym xorom zatial neviem co, ale asi nic

Zodiac · « **Reply #22 on:** December 08, 2007, 11:23:59 AM »

ok, takze som opravit tie 2 chyby v ASM tabulke + som dorobil help a pokial nepride nejaky dobry napad alebo sa neobjavi nejaky velky bug tak som s tymto pluginom skoncil na dlhsiu dobu , uz tu toho bolo az az

pr0p4g4nd4 · « **Reply #23 on:** December 11, 2007, 08:33:34 AM »

Quote from: aeon

ciarky na konci opravim, 0ly pri dwordoch tiez , ten nazov ponecham a s tym xorom zatial neviem co, ale asi nic

No ako chces ale ja by som tie nazvy mal radsej tak ako som ti pisal - ale je to na tebe ako sa rozhodnes. A ohladne toho XORu by si to mohol nejako poriesit(napr tak ako som ti pisal

).. :p

Quote from: aeon

ok, takze som opravit tie 2 chyby v ASM tabulke + som dorobil help a pokial nepride nejaky dobry napad alebo sa neobjavi nejaky velky bug tak som s tymto pluginom skoncil na dlhsiu dobu , uz tu toho bolo az az

No zase az az tolko toho tu nebolo

Anyway, tento plugin od teba je fakt dobry a uzitocny..

Zodiac · « **Reply #24 on:** December 11, 2007, 09:31:01 AM »

tan napad zo xorom v tabulke sa mi moc nepozdava

Quote from: pr0p4g4nd4

No zase az az tolko toho tu nebolo Anyway, tento plugin od teba je fakt dobry a uzitocny..

diky, moc za podporu , tesi ma ze moja praca nebola marna , ale zaujimalo by ma ci si uz pouzil aj nieco ine z neho ako MASM Tabulku , napr. Range Dump

pr0p4g4nd4 · « **Reply #25 on:** December 11, 2007, 10:26:24 AM »

Quote from: aeon

diky, moc za podporu , tesi ma ze moja praca nebola marna , ale zaujimalo by ma ci si uz pouzil aj nieco ine z neho ako MASM Tabulku , napr. Range Dump

No bohuzial nie. Ja som si vystacil s tou ASM tabulkou. Ale to nic nemeni na tom, ze je to velmi uzitocny plugin

pr0p4g4nd4 · « **Reply #26 on:** November 11, 2008, 01:39:02 PM »

Mam malu pripomienku. A sice toto - chcem zdumpovat toto(napriklad):

Code: [Select]

0040B0D0 64 20 4D 6F 64 d Mod

Plugin vyhodi pre BYTE toto:

Code: [Select]

db 064h, 020h, 04Dh, 06Fh, 064h

Pre WORD:

Code: [Select]

dw 02064h, 06F4Dh

Pre DWORD:

Code: [Select]

dd 06F4D2064h,

WORD a DWORD je chybne - asi to bude sposobene tym ze pocet bytov je neparny(chyba tam ten "nadbytocny byte")
co by asi trebalo nejakym sposobom osetrit.

Zodiac · « **Reply #27 on:** November 11, 2008, 10:39:52 PM »

viem ze to je useknute len ma v tedy nenapadlo ze sa to da urobit asi takto:

Pre WORD:

Code: [Select]


dw 02064h, 06F4Dh, 00064h

DWORD:

Code: [Select]


dd 06F4D2064h, 000000064h

pri dworde som zabudol odstranit tu ciarku

neviem ci sa este k tomu po roku vratim a ci sa vobec vysomarim z toho mojho zdrojaku

pr0p4g4nd4 · « **Reply #28 on:** November 14, 2008, 03:53:40 PM »

BTW: Uz pred tebou(mam dojem ze v roku 2006) vysiel takyto plugin - su dost podobne

Code: [Select]

http://tuts4you.com/download.php?view.42

Zodiac · « **Reply #29 on:** November 14, 2008, 05:39:56 PM »

viem ten je dobry, povodna pointa toho mojho bolo ze som si potreboval casto kopirovat rychlo bez zbytocnych klikov stringy z dumpu a na to vtedy nebol ziadny plugin(mozno ani teraz) , potom som uz len dalej na to nabaloval vselico

RE FORUM

News:

Author Topic: Ollydbg - Memory Dump (Read 2811 times)

Zodiac

Re: Ollydbg - Memory Dump

pr0p4g4nd4

Re: Ollydbg - Memory Dump

Zodiac

Re: Ollydbg - Memory Dump

pr0p4g4nd4

Re: Ollydbg - Memory Dump

Zodiac

Re: Ollydbg - Memory Dump

pr0p4g4nd4

Re: Ollydbg - Memory Dump

Zodiac

Re: Ollydbg - Memory Dump

Zodiac

Re: Ollydbg - Memory Dump

pr0p4g4nd4

Re: Ollydbg - Memory Dump

Zodiac

Re: Ollydbg - Memory Dump

pr0p4g4nd4

Re: Ollydbg - Memory Dump

pr0p4g4nd4

Re: Ollydbg - Memory Dump

Zodiac

Re: Ollydbg - Memory Dump

pr0p4g4nd4

Re: Ollydbg - Memory Dump

Zodiac

Re: Ollydbg - Memory Dump