Küsimus:
Kuidas vaadata stringiviiteid?
T.Todua
2018-06-11 20:25:13 UTC
view on stackexchange narkive permalink

Olen protsessi / rakenduse (exe) juurde lisanud siluri, kuid kui lähen stringiviidete juurde, näitab see programm.hp asemel ntdll.dll viiteid. Kuidas saada viiteid programmist endast? kas see on kaitstud?

enter image description here

If you wanted to conceal the name of the module you should also have looked at line four inside the disassembly :) ... btw: I think the debuggers use heuristics in order to show you cross-references. There are bound to be _some_ false positives.
@0xC0000022L haha, ma olen sellest puudust tundnud :) testis midagi selle progiga. aitäh vastuse eest, olen sarnase ülesandega tagasi jõudnud.
Kaks vastused:
mrexodia
2018-06-15 22:51:38 UTC
view on stackexchange narkive permalink

Kui x64dbg lisatakse protsessile, peatub see kõigepealt nupul „Lisa katkestuspunkt”. Stringiviidete otsimiseks mõeldud nupp otsib moodulit, mida demonteerimisel praegu kuvatakse. Teises moodulis otsimiseks peate lihtsalt sinna minema.

Üks viis selleks on minna vahekaardile Symbols ja topeltklõpsata teid huvitaval moodulil. See peaks viib teid mooduli koodiosasse. Sealt saate stringiviidete otsimiseks nuppu vajutada.

Seda ma tegingi, kuid ei töötanud (läksin alati tagasi ntddl.dll või mõne muu mooduli juurde), kuni ma moodulil RMB valisin ja valisin käsu "Jälgi sisestuspunkti lahtivõtmises", suutsin ma stringe otsida minu sihtmoodul.
0xfede7c8
2018-06-11 20:35:00 UTC
view on stackexchange narkive permalink

Tee on nii: 

  Debug -> Run to user code

Siis näete programmi enda stringe. x64dbg / x32dbg as mis tahes muu silur, juhatab teid enne "peamise" sisestamist läbi kogu protsessi lähtestuskoodi.

hm, i can only see **`Run`** To User code, however it still shows `ntdll.dll` when i go to string references.


See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 4.0-litsentsi eest, mille all seda levitatakse.
Loading...