Frage zum OlyDBG

Hier könnt ihr sowohl zur x86 Architektur als auch zu Win32ASM Fragen stellen.

Moderatoren: crack, Marwin, Krüsty

Antworten
Peter III
Member
Beiträge: 17
Registriert: Montag 16. August 2004, 13:53

Frage zum OlyDBG

Beitrag von Peter III » Montag 23. Mai 2005, 12:21

Hallo Leute,

bin ein Ausländer also verzeiht mir die Fehler :oops:

Nun zu meinem Problem.

Ich schreibe in masm32 ein kleines Programm dass in Process "explorer.exe" ein Stück Code injectiert und diese dann per
"CreateRemoteThread()" ausführt. Alles fuzt soweit einwandfrei.
Das Problem ist, dass wenn ich im Debuger( OlyDBG) den ganze Ablauf verfolgen will, dann kann ich dass nur bis zum CreateRemoteThread-Aufruf verfolgen. Dann wird der remote Thread aufgerufen und mein Programm
wird mit ExitProcess beendet.
Meine Frage: Wie und ob ich den Thread-Ablauf im OlyDBG verfolgen
kann? Ich meine gibt es eine Möglichkeit dass ich Schritt für Schritt komplette Threadcode im debuger ausführe bzw. teste? Denn Thread läuft ja nicht mehr im Speicher meines Programm, sonder im Speicher des explorer.exe Processes.

Vielen Dank im voraus!!!

Grüß
Peter III

Benutzeravatar
Marwin
Moderator
Beiträge: 307
Registriert: Donnerstag 8. Mai 2003, 21:19
Wohnort: Seelow, Deutschland
Kontaktdaten:

Beitrag von Marwin » Montag 23. Mai 2005, 19:10

Es gibt die Möglichkeit per F7 eine Anweisung nach der anderen auszuführen. Ist es das was du suchst?
Wenn nicht, dann fragst du am besten den Programmierer selbst:

http://home.t-online.de/home/ollydbg


Marwin

Peter III
Member
Beiträge: 17
Registriert: Montag 16. August 2004, 13:53

Beitrag von Peter III » Dienstag 24. Mai 2005, 02:01

Marwin hat geschrieben:Es gibt die Möglichkeit per F7 eine Anweisung nach der anderen auszuführen. Ist es das was du suchst?Marwin
Nee leider nicht, mit F7 springe ich in die Funktion "CreateRemoteThread()" im kernel32.dll und nicht in den Thread selbst.
Marwin hat geschrieben:Wenn nicht, dann fragst du am besten den Programmierer selbst:

http://home.t-online.de/home/ollydbg


Marwin
Hmm gute Idee :)

Danke für die Tips! :wink:

Grüß
Peter

Antworten