OllDbg 错误信息

逆向工程 ollydbg
2021-06-29 01:02:08

我有以下错误消息: 

 Don't know how to step because memory at address 00000000 is not readable.
 Try to change EIP or pass exeption to program.

因为不知道怎么改EIP,所以用异常传递试试。所以:当我单击 Shift+F7/F8 将异常传递给程序时,什么也没有发生。当我尝试 Shift+F9 时,程序在 RETN 指令中运行,位于整个过程的末尾。所以,整件事都行不通。之后,我尝试以下操作:在调试选项(在 Exeptions-Tab 中)中,我启用了“内存访问冲突”字段。但是错误信息又来了。

我现在的问题是:我该如何解决这个问题?

第二件事是(我不知道这些信息是否相关,但我写了它):当我用 ollydbg 打开恶意软件时,会出现一条消息,通知我已加密或压缩。您知道,这是处理打包恶意软件时的典型错误消息。但问题是,我肯定是打开了它。开头是一个正常的开头/介绍,例如:

       PUSH EBP
       MOV EBP, ESP
       ...

另外,当我用 PEiD 打开该进程的打包版本时,它告诉我它是用 FSG 1.3.3 -> bart/xt 打包的。当我打开恶意软件的解压版本时,PEiD 告诉我: 没有发现 * 所以,我对 Ollydbg 谈论压缩/打包数据这一事实感到非常困惑,尽管我已经解压了它。那么,怎么可能呢?

最好的祝福,

1个回答

Ollydbg 谈到了压缩/打包数据,尽管我已经解压了它。那么,怎么可能呢?

Ollydbg 是错误的,而且它对很多事情都不起作用!它给出的信息应该谨慎对待。很可能当您解压二进制文件时,您提供了一个错误的入口点或包含了不再使用的垃圾加密数据。

因为我不知道怎么改EIP

在 Olly 的 CPU 窗口的寄存器部分右键单击 EIP。

我尝试通过异常

EIP是指令指针,如果它试图执行地址0处的内存,你的程序肯定会无法正确运行。很可能您在解包时将入口点设置为零,这绝对是错误的。如果程序没有定义异常处理程序,并且您传递了异常,它只会冒泡到窗口并导致崩溃(“关闭此程序/调试”对话框)。

很好的选择,可以排除您遇到的任何 ollydbg 问题:http//x64dbg.com

其它你可能感兴趣的问题
上一篇固件中的单色图像替换 下一篇如何将修改后的固件恢复为只读安装