Почему дамп программы в Ollydbg и в HEX-редакторе отличается?

@_Arthur · Регистрация: 31.03.2018

Студворк — интернет-сервис помощи студентам

Доброго времени суток! Возможно задаю тупой вопрос, но у меня такая проблема:

Открываю одну и ту же программу в ollydbg и HEX-редакторе, но шеснадцатиричное представление программы совпадает только до определенной точки(на скриншоте указана эта точка).

Собственно вопрос:
Почему так происходит и как это исправить?

Заранее Благодарю за помощь!

P.S. Если тему создал не в том разделе, сори.

ФедосеевПавел · 06.12.2018, 13:08

Т.к. образ программы (файл) содержит служебную информацию, а образ программы в памяти уже только код и данные.

@_Arthur · 06.12.2018, 15:06 **[ТС]**

Сообщение от ФедосеевПавел

Т.к. образ программы (файл) содержит служебную информацию, а образ программы в памяти уже только код и данные.

Тогда как найти данные в ollydbg, если известны их адреса в HEX-редакторе? Или это невозможно?

ФедосеевПавел · 06.12.2018, 17:50

Можно, распарсив PE заголовок.
Или в дампе поискать характерную строку - нажать правую кнопку мыши и выбрать Search for

@Ethereal · 07.12.2018, 12:03

Сообщение от ФедосеевПавел

Т.к. образ программы (файл) содержит служебную информацию, а образ программы в памяти уже только код и данные.

Служебная информация это что ? Заголовок MZ, заголовок PE и таблица секций ? Так они ТОЖЕ грузятся в память. В частности на OllyDbg-ном скриншоте ТС-а ты именно их в памяти и видишь. Короче, все что есть в файле, пусть слегка преобразовавшись, но в итоге улетит в память.

Добавлено через 5 минут

Сообщение от _Arthur

Почему так происходит и как это исправить?

Никак не исправить, это нормально. Разница у тебя пошла со смещения 200h ? Ну так правильно в файле заголовок и секции склеены кусками, кратными по размеру файловому выравниванию 200h. А вот в память они грузятся кусками, кратными по размеру, секционному выравниванию и это типично 1000h. В общем, все, что у тебя в файле начиналось со смещения 200h, а это уже секция пошла, было шмякнуто в память со смещения 1000h. Загрузчик виндов как-бы смысловые фрагменты EXE-файла, что в файле шли по границам, кратным 200h, положил в память начиная с границ кратных 1000h. Как бы разредил их, заполнив разрежения нулями.

ФедосеевПавел · 07.12.2018, 13:54

Сообщение от Ethereal

В частности на OllyDbg-ном скриншоте ТС-а ты именно их в памяти и видишь

Попробовал запустить какую-то программу в OllyDbg - не нашёл символы "MZ". Где их искать?

@R71MT · 07.12.2018, 15:01

Сообщение от ФедосеевПавел

Где их искать?

есть ImageBase, куда загрузчик отображает образ дискового файла (00400000h для EXE).
по-умолчанию каждую секцию линкер смещает от базы на 1000h, соответственно в этой дырке и будет заголовок MZ/PE. В окне данных жми Ctrl+G и вводи базу 400000h

Новые блоги и статьи Все статьи Все блоги /
WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114
Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .

Почему дамп программы в Ollydbg и в HEX-редакторе отличается?

Решение

Решение

Решение

@_Arthur 0 / 0 / 0 Регистрация: 31.03.2018 Сообщений: 21

	Почему дамп программы в Ollydbg и в HEX-редакторе отличается? 06.12.2018, 13:01. Показов 3617. Ответов 6 Метки нет (Все метки) Доброго времени суток! Возможно задаю тупой вопрос, но у меня такая проблема: Открываю одну и ту же программу в ollydbg и HEX-редакторе, но шеснадцатиричное представление программы совпадает только до определенной точки(на скриншоте указана эта точка). Собственно вопрос: Почему так происходит и как это исправить? Заранее Благодарю за помощь! P.S. Если тему создал не в том разделе, сори. Миниатюры 0

ФедосеевПавел Модератор 8647 / 4482 / 1669 Регистрация: 01.02.2015 Сообщений: 13,889 Записей в блоге: 12
	06.12.2018, 13:08
	Сообщение было отмечено _Arthur как решение Решение Т.к. образ программы (файл) содержит служебную информацию, а образ программы в памяти уже только код и данные. 1

ФедосеевПавел Модератор 8647 / 4482 / 1669 Регистрация: 01.02.2015 Сообщений: 13,889 Записей в блоге: 12
	06.12.2018, 17:50
	Можно, распарсив PE заголовок. Или в дампе поискать характерную строку - нажать правую кнопку мыши и выбрать Search for 1