Пишу скрипт под Immunity Debugger. В скрипте использую setHardwareBreakpoint() - immunity показывет,что бряк сработал в модуле ntdll,но регистр EIP не поменялся (перед срабатыванием и после : значение одно и тоже). Как поставить бряк в main module процесса и отследить, что он сработал???
И что не так делаю:
regs = imm.getRegs()
for reg in regs:
imm.log("Register %s : 0x%08X " % (reg,regs[reg]))
teb = imm.getCurrentTEBAddress()
imm.setHardwareBreakpoint( teb, 2, 2)
imm.run()
for reg in regs:
imm.log("Register %s : 0x%08X " % (reg,regs[reg]))



Reply With Quote
Thanks
