# Глава 11 Хорошо, нам осталось рассмотреть процессорные точки останова (hardware breakpoints), условные точки останова и message breakpoints, и после этого мы закончим с этой темой. ## Процессорные точки останова Процессорные точки останова (hardware breakpoints, HBP) - это возможность, предоставляемая процессором. Как это устроено на самом деле, я не знаю, но тем не менее мы можем устанавливать их, чтобы программа, когда их встречает, останавливалась и передавала управление. Мы можем установить до 4 четырёх HBP, на пятый Ollydbg попросит нас указать, какой из четырёх уже установленных убрать. Как обычно, для практики будем использовать крэкми CrueHead'а [\[ссылка\]](https://github.com/yutewiyof/intro-cracking-with-ollydbg/blob/master/.gitbook/assets/files/1/ollydbg01-Crackme.7z). ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-f7a972496eb6ce97b95479eb0f9d4c7697b52e6d%2F1.png?alt=media) Есть три возможности: HBP ON EXECUTION, ON WRITE и ON ACCESS. Установка HBP ON EXECUTION выполняет ту же роль, что и BPX на адрес, но HBP не изменяет код и его сложнее обнаружить, хотя есть программы, которые используют кое-какие приёмы, чтобы сбросить HBP. Эти приёмы и способы противостоять им, мы рассмотрим в следующих главах. Если хотим установить HBP ON EXECUTION на 401013, отмечаем строку, кликаем на правую кнопку мыши и выбираем BREAKPOINT-HARDWARE ON EXECUTION. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-6c988619646c4b8bc1704b643a541db44cdcd4db%2F2.png?alt=media) Также можем написать в командной строке: ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-f33bc09defa55f6e25304fdb85b0bb96e5573401%2F3.png?alt=media) После этого HBP установлен. У Ollydbg есть специальное окно, с помощью которого мы можем просмотреть и управлять HBP'ами. Чтобы открыть его, идём в DEBUG-HARDWARE BREAKPOINTS. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-64ad4b246037acc85006fc24492f826fb0c2cee7%2F4.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-e088f3764b825fb6c6081276e1c987aad85fe208%2F5.png?alt=media) Здесь мы видим окошко с HBP, и если нажмём FOLLOW, мы окажемся в листинге на той строке, где он был установлен. С помощью DELETE мы можем его удалить. Теперь нажмём F9 для того, чтобы начать выполнение программы. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-98a45749decab1f73fc303a418cfab20abedc92a%2F6.png?alt=media) И остановимся на 401013. Как видим, он ведёт себя как обычный BPX, если же сделаем то же, что делали и с BPX - напишем MOV EAX, DWORD PTR DS:\[401013] и запустим, то увидим, что код не изменился. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-959f08cfb6a9feef032dc76d29bbfc79e26354c6%2F7.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-d7725592f90d079bde08183c0f23a46e555e0bf3%2F8.png?alt=media) Изменим EIP на 401000 с помощью NEW ORIGIN HERE и нажмём F7. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-39ca59fb3fa0696bdb877a5da8d7d80458dccf84%2F9.png?alt=media) Видим, что в EAX содержатся E8 A6 04 00 (в обратной форме, поэтому мы видим 00004A6E8), то есть никаких изменений в коде не было. Если мы перезапустим Ollydbg, то увидим, что HBP остался установленным. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-14b2b1b72e3f30d65ea91b4fa25e38c0117f8b5e%2F10.png?alt=media) Убираем его и устанавливаем HBP на MessageBoxA таким же образом, как и BPX. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-8291d09d8d92421ebb0d2d1a1edae8348743cacf%2F11.png?alt=media) Теперь смотрим список HBP. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-4813ae007472d085d576b7234c92b093ca5b4d1d%2F12.png?alt=media) Не будем повторять снова, но знаем, что если запустим программу и введём юзера и пароль, и мы согласимся, то выполнение остановится на API MessageBoxA, т.е. примерно так же, как если бы мы использовали обычный BPX. HBP ON ACCESS и ON WRITE могут охватывать только 1, 2 или 4 байта, если же мы выберем в DUMP зону большего размера, то будут иметь значение только первые четыре байта. Сбросим все HBP, установленные нами ранее, и попытаемся установить HBP ON ACCESS на адрес 4020CA. Посмотрим в DUMP'е, что находится по этому адресу. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2f60cbfead54ebfe1b8933e690935d759e1cc3b8%2F13.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-5fd1ae6d60e57de697120f18b58edff5f4af4520%2F14.png?alt=media) А теперь отметим первые 4 байта. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-6ecc23b8e2cda5656886222f41867166e7888c56%2F15.png?alt=media) Нажимаем правую кнопку мыши. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-c29f67fbf147316b7035306774e68b79678c307a%2F16.png?alt=media) Видим, что для отмеченной нами зоны был предложен HBP на байт или два байта (WORD), выбор четырёх байтов предлагается только для адресов, которые кратны 4. В данном случае это условие не соблюдается. Проделаем ту же операцию для следующего байта и выберем HARDWARE ON ACCESS, и теперь есть только возможность выбора BYTE. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-e6655a0fa61d29fdb8137437315b324499735861%2F17.png?alt=media) А на следующем появилась, наконец-то, опция DWORD, то есть HBP на четыре байта. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-4eea3766706bc8c850631e02c879cf800d737c0c%2F18.png?alt=media) Идея в том, что если нам нужно контролировать сохранение или чтение по адресу 4020CA, то для этой цели достаточно поставить HBP на один байт. Возвратимся к 4020CA и поставим HBP ON ACCESS – BYTE. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-0fdf573d83a9939b0c8f35cc229f35ee05d1aaec%2F19.png?alt=media) Видим, что поставленный нами HBP в списке имеет размер 1, т.е. байт (BYTE). ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-204fe424c07f1095b83eb596eca57b3fa0acc980%2F20.png?alt=media) Делаем RUN. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ddd5c360a05344ccebfd34e3695a8fd9067da92a%2F21.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-fbe3343e7580bc934d507770fe11c744826010aa%2F22.png?alt=media) Здесь OLLY говорит нам, что сработал HBP 1, т.е. тот, который идёт первым в списке HBP. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-945ab78f7823c38483889c97a6e5c8f0bf0877dd%2F23.png?alt=media) Видим, что выполнение программы прекращается на строке, следующей за той, где производилось сохранение или чтение. Это верно как для HBP ON ACCESS, так и для ON WRITE - инструкция, на которой срабатывает HBP, выполняется, а программа останавливается на следующей. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-8434cf4df26685e396d39f71237cc9eb228465b4%2F24.png?alt=media) Как вы можете видеть, отличие от MEMORY BREAKPOINT заключается в том, что программа остановилась бы на 401007 - непосредственно на той инструкции, которая вызвала срабатывание точки останова. Как вы можете догадаться, HBP ON WRITE срабатывает, когда происходить сохранение, а не чтение, и остановка программы происходит на инструкции, следующей за той, которая вызвала срабатывание HBP. ## Условные точки останова В действительности это вариант обычных BPX, отличающийся тем, что при активации такого BPX OllyDbg проверяет, верно ли некое условие, и если да, то останавливает выполнение программы, а если нет, то продолжает выполнение программы, как будто BP не существует. Рассмотрим пример. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-cb795613c6646ff8204cc972261c0a08a98a4190%2F25.png?alt=media) Сбросим всё, что мы делали ранее, и установим BREAKPOINT CONDICIONAL на 40100E, для чего выделим строку, нажмём правую кнопку мыши и выберем BREAKPOINT CONDICIONAL. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-0d22fb097f821ddb0c7ebf87f46e9191bec7eb4e%2F26.png?alt=media) Открывается окошко, в котором нужно задать условие. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-db3aa73f37a16f314ddb800e43c0876b2a3b3f59%2F27.png?alt=media) Например, если хотим задать, чтобы останов происходил, когда EAX равен 400000, то условие должно быть таким: "EAX==400000". ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-24355bf50e0bf3fc23bf53263f49523afa4f9d4d%2F28.png?alt=media) В хелпах, прилагаемых к OllyDbg, написано какие символы мы можем использовать и каким условиям они соответствуют. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2c2002a07f04cb73f9d9157ef021436d567bf1cf%2F29.png?alt=media) Видим, что в случае с BPX CONDICIONAL используется розовый цвет. Нажимаем F9: ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-13e583c91093c7150c02123dd5745e73fa9d9f61%2F30.png?alt=media) Видим, что произошёл останов и OllyDbg нам сообщает: ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-0d2952be107ee275363c6c73a6173d6cb869062d%2F31.png?alt=media) Раз EAX равен 400000, значит сработало заданное условие. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a6c6a5c76d620d912adf1d3c91806640ad7d5c56%2F32.png?alt=media) Начнём выполнение заново, сотрём BPX CONDICIONAL и поставим другой, где, например, EAX==500000. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-e6c2f3a9f2ea7f12cafc77cbd670ccfaca0e6b36%2F33.png?alt=media) И сделаем RUN. Видим, что крэкми выполнился и останова не произошло, т.к. EAX всегда был равен 400000 и условие не выполнялось. Если откроем HELP-CONTENTS. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-5e93b014e7f9d6bdb4acff503a07b5a8c1e10884%2F34.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-9f6f9ed3050b39b8ffc0dc271427e2ca4c294b8f%2F35.png?alt=media) Вот BREAKPOINTS и место где объясняются выражения: ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-6991186e82e53f5e3f295426dfc981fd57a0905e%2F36.png?alt=media) Также в хелпе есть примеры выражений, которые можно использовать для условий. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-cc0a56223139bd3dff4b4043b2a2d1adf79e0521%2F37.png?alt=media) ## Условные точки останова с логированием Это условный BPX, такой же как и предыдущий, только в этом случае мы можем указать, чтобы все точные значения сохранялись при прохождении точки останова. Там есть много опций, и мы продемонстрируем применение этого BPX на примере одного API, который встречается в разных местах, и нам хочется, чтобы сохранялись данные, передающиеся ему. Установим BPX CONDITIONAL LOG на адрес, где находится API, перезапустив предварительно OllyDbg. Идем к нужному адресу, где находится api, и уже знаем, как это сделать: CLICK DERECHO-GOTO EXPRESSION. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-e710931d8c28304186b1e4b0e5af462b2907c87f%2F38.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-8c347967c9d35de3841cd37591245304fee02b05%2F39.png?alt=media) Находясь здесь, нажимаем CLICK DERECHO- BREAKPOINT- CONDICIONAL LOG. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-016c9d72a699d62d8b4f568fcdb6269b649870a7%2F40.png?alt=media) Видим окошко с множеством опций. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-21e467c8c095093e37ecebd594c178ad2efd61bd%2F41.png?alt=media) В данном случае нам нужно, чтобы сохранялись только требуемые нам данные. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-78bc5cc5880c9f33ea7228dfeb63ad7ed4ca7fe9%2F42.png?alt=media) Так как мы не хотим, чтобы происходил останов, то не задаём никакого условия, а в опции PAUSE PROGRAM выбираем, чтобы этого не происходило, то есть отмечаем NEVER. Потом в LOG VALUE OF EXPRESSION можем сделать так, чтобы сохранялось значение \[esp], которое мы написали в поле EXPRESSION, в котором, как мы знаем, будет адрес возврата в основное тело программы после выполнения api, то есть самое верхнее значение стека, поэтому во второй строке LOG VALUE OF EXPRESSION выбираем ALWAYS, то есть логировать всегда. В третьей строке находится опция, задающая хотим ли мы логировать аргументы/параметры функции/api, и поскольку их немного, можем поставить ALWAYS. Идём в окно LOG или L. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-0a1e2fe44bec9786c9dfb5165b0455e4ad6054bc%2F43.png?alt=media) И очищаем его, чтобы ясно видеть, что сохраняет программа. Кликаем CLICK DERECHO-CLEAR WINDOW. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-28fc6db8348b4527c6439ff4155ea46e3156875c%2F44.png?alt=media) Видим, что есть опция, позволяющая сохранять лог в текстовый файл, если это необходимо. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-7d2e7b52f1b157d0afef060d48c88a16fef8508c%2F45.png?alt=media) Теперь запускаем выполнение программы с помощью F9. Идём в окошко крэкми и пока в LOG’е ничего нет, так как заданное нами api не вызывалось. Идём в REGISTER, где можем задать имя и пароль пользователя. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-dfb8106dc3df31686c9282c58b27acecfa468026%2F46.png?alt=media) Когда нажимаем OK ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ac20e7d943064d4994e0d1a013fe67fc26d693cb%2F47.png?alt=media) ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-6766abc38d17ceb4d62154e00c1303f51d1b5415%2F48.png?alt=media) Видим, что в окошке лога отобразилась информация о MessageBoxA, самое верхнее значение стека (которое равно 40137D и является адресом возврата из api), а затем параметры api, в данном случае это адрес из которого оно было вызвано, текст, заголовок и т.п. В данном случае нам отобразилась информация только об одном вызове, но если api вызывается, скажем, 100 раз, то можем сохранять лог в текстовый файл. Если же нам нужно, чтобы отображались только некоторые из этих вызовов, то можем задать определённое условие. Если у нас есть список с информацией о 100 различных вызовах данного api, выполненных программой, то можно задать какие-нибудь данные в поле условия, например, адрес возврата. В этом случае из всех 100 случаев вызова отобразятся только те, которые возвращаются на 40137D, а остальные нет. Для этого перезагрузим крэкми, снова найдём api и установим на неё BPX CONDICIONAL LOG. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-c044afd0cc47dc81385ff999e471eb6f189e9860%2F49.png?alt=media) Изменим опции, так чтобы точка останова срабатывала только тогда, когда выполняется условие и зададим его, чтобы проверялось равен ли \[esp] 40137D. Запускаем программу, и когда появится окошко регистрации, введём имя пользователя ‘ricnar456’ и пароль ‘989898’. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-6354c44f4428bdc3f413c290c70a856044f03ccf%2F50.png?alt=media) Помните, что когда вводится имя пользователя, в котором есть цифры, messageboxa вызывается 2 раза? Нажимаем ОК. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a7bb3b0078d9d30d411a75e0d68fe5d364846cb2%2F51.png?alt=media) Видим, что на первый MessageBoxA Олли никак не отреагировала. В логах показано, что адрес возврата был равен 4013C1, поэтому условие не выполнялось. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-a8e3e59089a1952217d347cc2b490bacda9b70d9%2F52.png?alt=media) Когда нажимаем кнопку OK ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-fe3125ee06b65dd3fb5c28b0ec7a980b8279badf%2F53.png?alt=media) Это второй раз, когда вызывается api. Здесь условие выполняется и срабатывает точка останова. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-ec1044233464da76567d47dda03aac482d8e2caa%2F54.png?alt=media) Видим, что верхнее элемент стека содержит значение 40137d, которое активирует BPX CONDICIONAL LOG. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-2628d9e25a021ac0bf1ca9302ba0d58e7edc2503%2F55.png?alt=media) В обоих случая OllyDbg сохранил информацию об обоих вызовах. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-6c22727a26811dd110a6718b4a842329aa77aa50%2F56.png?alt=media) Во втором случае адресом возврата было 40137D, и мы видим, что в этот раз условная точка останова сработала. ![](https://2931627293-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LnwCNY88kcGMCQxNdy6%2Fuploads%2Fgit-blob-5d971005e75e591b3b18bf850300e744fd1ca85a%2F57.png?alt=media) Ок, думаю, что этого достаточно, чтобы вам было в чём попрактиковаться некоторое время. Ещё остались MESSAGE BREAKPOINTS, но я не хочу вас уморить, так что ждите 12 часть, а после того, как рассмотрим последний вид точек останова, обещаю, что продолжим крэкать по-немногу, так, чтобы не заскучать. \[C] Рикардо Нарваха, пер. Aquila