[cristian02]

je pense qu'en utilisant le plugin olly ULTRASTRING REFERENCE on n'a pas besoin de modifier quoi que ce soit il recupère les strings de toutes les sections

[Kowasu]

je pense qu'en utilisant le plugin olly ULTRASTRING REFERENCE on n'a pas besoin de modifier quoi que ce soit il recupère les strings de toutes les sections

Yep c'est ce que j'ai dit plus haut :
"C'est pourquoi d'ailleurs qu'il y a des plugins qui ont été fait qui scannent l'entièreté du binaire."
M'enfin c'est relou pour toi car tu ne peux pas analysé le module : ctrl+n
Donc moi je te conseille plutot de prendre l'habitude de modifier soit avec LordPE soit tu travailles avec le plugin : OllyDump
>OllyDump, il te fait tout sauf le changement du BaseOfCode et le BaseOfData > mais il t'affiche des edits pour les modifiers. C'est pas beau la vie?

++

[capitaine]

Pourquoi vouloir toucher au PE. Pour upx tu fais comme ca ete dit avant, ou tu telecherge upx il decrompresse aussi les executables packes avec lui.

je connais pas grand chose au cracking encore, mon but c'est d'apprendre le plus possible(pour ca les vancances c ** baballe ), donc j'ai aucun interet à utiliser upx pour decompresser le prog. je l'ai compressé exprès pour faire de l'unpack manuel lol.

Si ton dump est fonctionnel et que tu vois pas de str c'est peut etre qu'il y en a pas, ou elles sont encodees, ou bien ton w32dasm ne les detecte pas.

si ya des string lorsqu'il n'est pas packé! d'ou l'info indispensable de Kowasu à propos du BaseOfCode. je me suis pas encore penché la dessus mais ca ne saurait tarder

j'ai compris que partiellement ton explication Kowasu mais c'est bien un problème de section. j'ai modifier la valeur baseofcode et ca m'a permis effectivement d'avoir les strings par la suite.
concernant la doc du lien microsoft elle est plutot conséquente dit moi , ca m'a fait peur donc j'ai cherché un équivalent en francais que j'ai dl, mais comme un abruti j'ai zappé de sauvegarder l'adresse du site , si je le retrouve je balance le lien.
enfin du coup je suis tombé sur ca par la suite http://mimasgpc.free.fr/wiki/doku.php?id=info:reverse:defi_pe  ca pourra interesser ceux qui connaissait pas. pour moi c'est trop hardcore

[Kowasu]

j'ai compris que partiellement ton explication Kowasu mais c'est bien un problème de section.

Mince, j'ai merdé où?

[capitaine]

On peut donc en conclure que OllyDbg cherche les stringsdata avec le BaseOfData

la manière dont tu conclus ca mais t'inquiètes c'est normal, ca fait beaucoup d'info tous ca. c'est encore confu sous ma casquette de capitaine

[Kowasu]

Ben en faite, c'est pour enlever le doute qui pourrait peser : OllyDbg ne cherche pas les stringsdata avec le voffset de la section où se trouve l'entrypoint.