Ollydbg me engaña

Iniciado por lapras, 3 Septiembre 2010, 17:42 PM

0 Miembros y 1 Visitante están viendo este tema.

lapras

Resulta que en dump en la direccion 7C800000h me pone 4D5Ah('MZ') pero resulta que si hago MOV WORD AX, [7C800000] me pone en AX otra cosa ¿Por que pasa esto? ¿Me esta olly siendo infiel? :(

MCKSys Argentina

No se si es el caso, pero la instruccion seria:


MOV AX, WORD PTR [7C800000]


Sera por eso??

PD: Esa sección, no es de una DLL del sistema?? Que estas tratando de hacer??
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


lapras

CitarInsertar Cita
No se si es el caso, pero la instruccion seria:

Código:
MOV AX, WORD PTR [7C800000]
Si bueno es lo mismo al fin y al cabo pero el problema esque pone en el dump una cosa y luego mueve a eax otra cosa.

Si, es una dll del sistema kernel32, solo estaba juagando un poco y probar

apuromafo CLS

no creo que te engañe del todo, el tamaño del registro que estas moviendo es bastante pequeño (16bytes el registro ax, ah, al, ) en cambio el registro EAX, es de 32bytes

si es por comando te sugiero que hagas un lea (en vez de mov), o un
cmp dword prt ss:[offset],4D5Ah
je lugar

y asi vas comparando si realmente vas viendo eso..
con ax, no creo que resulte por almacenar esos bytes

si no me crees, coloca
mov eax, 7c800000
cmp ax,0
cmp al,0
cmp ah,0

y luego matas la duda cuando ves los registros en vivo en comparacion.

supongo que estas usando ollydbg cierto?..
///

lapras

Jaja vale ya se por que es... ;D
resulta que tenia en esa direccion un breakpoint y los breakpoints modificanel codigo y lo substituyen por CCh. Para solocionarlo puse un hardware breakpoint
Si, como indica el titulo estoy usando olly
Gracias