en el tutorial de introducción a olly se comienza con este script:
en donde las comparaciones que se realiza son en (se pone bp ahí) KiUserExceptionDispatcher y en ZwContinue (se pone bp)
la idea del script es poder saltear la detección de de los hadware breakpoint, este funciona correctamente pero me surge una duda:
Supongamos que está detenido en
77aa6298 (KiUserExceptionDispatcher)
al encontrar una excepción o breakpoint
por el comando eob saltará a pirulo
pirulo:
cmp eip, 77aa6298
je quitar
cmp eip, 77aa62b0
je restaurar
jmp final
aquí al ser la primera comprobación cierta, este va a quitar
quitar:
bphwc 12ffc4
jmp trabajo
por lo que luego va a trabajo mi duda es que no entiendo cuando se ejecuta run, ya que este está debajo de eob por lo que para mi entender nunca se ejecutaría y no haría nunca avanzar al programa, pero este si lo hace
iría a trabajo y denuevo encontraría un BP 77aa6298 o el RUN se ejecuta junto con el EOB? No sé si se entiende
Saludos
Citarinicio:
bphws 12ffc4, "r"
trabajo:
eob pirulo
run
pirulo:
cmp eip, 77aa6298
je quitar
cmp eip, 77aa62b0
je restaurar
jmp final
quitar:
bphwc 12ffc4
jmp trabajo
restaurar:
jmp inicio
final:
MSGYN "Continuar?"
cmp $RESULT,1
je inicio
ret
en donde las comparaciones que se realiza son en (se pone bp ahí) KiUserExceptionDispatcher y en ZwContinue (se pone bp)
la idea del script es poder saltear la detección de de los hadware breakpoint, este funciona correctamente pero me surge una duda:
Supongamos que está detenido en
77aa6298 (KiUserExceptionDispatcher)
al encontrar una excepción o breakpoint
por el comando eob saltará a pirulo
pirulo:
cmp eip, 77aa6298
je quitar
cmp eip, 77aa62b0
je restaurar
jmp final
aquí al ser la primera comprobación cierta, este va a quitar
quitar:
bphwc 12ffc4
jmp trabajo
por lo que luego va a trabajo mi duda es que no entiendo cuando se ejecuta run, ya que este está debajo de eob por lo que para mi entender nunca se ejecutaría y no haría nunca avanzar al programa, pero este si lo hace
iría a trabajo y denuevo encontraría un BP 77aa6298 o el RUN se ejecuta junto con el EOB? No sé si se entiende
Saludos
, en resumen debo introducir la API dentro del exe alterada para que verifique el original.ext y cada vez que sea llamada por el programa, este apunte al injerto de creado?,esa es la teoria?
