cours 6

Des suggestions, questions et critiques à propos du site ou du forum.

cours 6

Messagepar rvq35 » 08 Juin 2016, 19:26

bonjour
un BP hardware revient automatiquement. Je le supprime mais il revient à chaque fois, de quoi ça peut venir ?
cela se produit lorsque je charge ma cible. Il est écrit en outre que le fait de faire F8 permet de sortir d'un call en tout cas il faut le faire après Ctrl/F9. oui mais lorsqu'on reste bloqué sur un RETN comment sortir si ce n'est par CTRL+F2 :?:
merci
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: cours 6

Messagepar rvq35 » 08 Juin 2016, 19:40

je pense que les préférences options permettent de supprimer le BP. En modifiant debuging start, le BP n'est plus là :shock:
Ce serait super si quelqu'un acceptait de proposer les préférences optimales à indiquer en option car ce serait beaucoup mieux pour suivre les cours de manière similaire, la preuve ! Je suis sur Ollydbg 2.01 Beta2
En effet, je constate des légères différences entre la marche à suivre sur les cours et ce que j'ai à l'écran. Merci
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: cours 6

Messagepar etherlord » 09 Juin 2016, 07:51

Si tu a problème lors de l'analyse d'un soft, tu peut essayer de supprimer/renommer le fichier udd correspondant dans le dossier OllyDbg, c'est lui qui contient toutes les infos de ce qui a été fait dans Olly.

Il est écrit en outre que le fait de faire F8 permet de sortir d'un call en tout cas il faut le faire après Ctrl/F9. oui mais lorsqu'on reste bloqué sur un RETN comment sortir si ce n'est par CTRL+F2


F8 permet de faire du mode pas à pas sans entrer dans les appels de fonctions. Très utile pour rester dans le code de sa cible et ne pas se perdre dans les appels systèmes.
Ctrl+F9 va exécuter le code et s'arrêter au prochain RET.

Quand tu est sur un RET, si tu fait F7, cela exécute le RET, et donc sort de la fonction.

Ce serait super si quelqu'un acceptait de proposer les préférences optimales à indiquer en option car ce serait beaucoup mieux pour suivre les cours de manière similaire


Tu utilise une version plus évoluée de l'outil que l'auteur du tuto. Certaines options peuvent êtres différentes, peuvent avoir disparues, avoir étés remplacées, etc... si tu veut
de l'identique à 100%, il faut commencer par utiliser les mêmes outils (même version) que l'auteur du cours

Perso je trouve plus intéressant de savoir à quoi correspondent les options, et déterminer quand elles peuvent être utiles, ainsi que de comprendre le cheminement du raisonnement
qui a conduit l'auteur à trouver une solution, pour pouvoir l'appliquer dans un cas identique.

Sinon tu va être habitué à ce qu'on te dise à la virgule près ce qu'il faut faire dans les crack-me, et être complétement paumé à la première cible que tu va traiter qui forcément, ne
sera pas identique à 100% au crack-mes que tu aura testés.

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2549
Inscription: 22 Mars 2004, 16:12

Re: cours 6

Messagepar rvq35 » 10 Juin 2016, 21:03

etherlord a écrit:F8 permet de faire du mode pas à pas sans entrer dans les appels de fonctions

question bête pour la plupart d'entre vous mais plus je relis mes cours et plus j'ai un doute : quand on fait F8 on remonte le programme, donc en amont ou alors on avance en aval des ligne de code ?
etherlord a écrit:Quand tu est sur un RET, si tu fait F7, cela exécute le RET, et donc sort de la fonction.

oui mais quand on reste définitivement sur un return et c 'est bloqué ?
Dans la version 1 de Olly il n'y a pas de Alt/F9 alors quel est son intérêt si ce n'est un raccourci pour aller plus vite que des séries de Ctrl/F9 + F8, si j'ai bien compris :roll:
Désolé mais je suis ténace et comme le dit Etherlord à juste titre, il faut que je bouffe du crackme avant d'attaquer la dernière cible à laquelle je faisais référence dans un autre post récent.
Merci
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: cours 6

Messagepar rvq35 » 11 Juin 2016, 07:40

Désolé encore moi mais j'ai plein de questions qui m'assaillent. Ici c'est le cours 7 mais pei importe. Lorsqu'un programme démarre en nous positionnant sur le module NTDLL par exemple, comment faire une recherche de string dans le module principal ?
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: cours 6

Messagepar rvq35 » 11 Juin 2016, 10:20

je sais on va me dire que c'est du monologue et si j'avais plus cherché avant ça m'aurait évité de poster la question précédente mais je suis pressé, désolé d'encombrer le forum pour des futilités. (AltE)
Cependant je maintiens l'avant dernière question qui me bloque parfois. Au fait, comment empêcher l'antivirus de mettre à la benne systématiquement les crackme modifiés avec des noms de virus théoriques (avast).
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: cours 6

Messagepar Bango » 12 Juin 2016, 09:51

rvq35 a écrit:Lorsqu'un programme démarre en nous positionnant sur le module NTDLL par exemple, comment faire une recherche de string dans le module principal ?

Je pense que dans ce cas de figure c'est l'option de l'arrêt eu lancement qu'il faut modifier...
Menu Options / Debugging options => onglet Events et là tu as le choix, soit tu pauses à l'EP de ton module principal, soit au system breakpoint. (manifestement tu es sur cette option)
Pendant que tu es là, n'hésite pas à jeter un oeil à l'onglet "exceptions" juste à côté.

rvq35 a écrit:Au fait, comment empêcher l'antivirus de mettre à la benne systématiquement les crackme modifiés avec des noms de virus théoriques (avast).

Personnellement, pour faire du RE j'ai une VM sans antivirus, sans connexion et isolée du host. Tout ça peut tout à fait s'activer au besoin.
Sinon, tu as toujours la possibilité d'ajouter des exclusions d'analyse, sous forme de fichiers ou de répertoire à ton antivirus? sinon change le! :)
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1565
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city


Retourner vers Deamon Crack & Forum Crack

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités