On 03.05.2013 08:47, Edek wrote:

>
> To jeszcze nic. Mając dowolną labelkę może być wiele dróg, jakimi
> program do nich doszedł.
>
> Ale prawdopodobnie proces jest możliwy,

IDA tak działa - sprawdza program flow i rejestruje adresy skoków (po
skoku musimy być na prawidłowej instrukcji) - w ten sposób z czasem
tworzy graf przepływu sterowania a przy tym ignoruje takie "standardowe"
sztuczki jak skakanie do segmentu danych(który z o dziwo ma +x ;) ), czy
skakanie do EIP+2.

Jest cała szkoła - jak pisać kod tak, żeby debugowanie za pomocą IDY
było możliwie trudne - jedna z ciekawszych sztuczek(przy czym ma już
kilka lat, więc pewnie nauczyli się to obchodzić): umieść na początku
funkcji kilka instrukcji, printf("%s",ESP+xxx), potem skok gdzie
indziej. Skacz do funkcji za pomocą if(!foo) bar(); else (foo+bar)(); -
disassembler pójdzie tylko pierwszą ścieżką bo druga jest osiągalna
tylko w runtime.


--
Pozdrawiam
Michoo