Ollydbg watch/условное выражение точки останова для регистров флагов?

Question

Так что я недавно изменил часть вредоносного ПО и понял, что могу использовать условную точку останова, которая прерывалась бы всякий раз, когда был установлен флаг нуля для конкретной команды jz. Я прочитал документацию в Интернете и в файле справки, который предоставляет olly, но не может найти примеров того, как я это сделаю. В онлайн-документации говорится, что регистры EFL или Flags могут использоваться в выражении watch/conditional breakpoint, но не упоминается, как обращаться к ним. Я пробовал простое выражение, такое как ZF == 1, а также ZF = 1 (на всякий случай, если я ошибался), и он не работал. Я искал google как сумасшедший и ничего, поэтому я надеюсь, что кто-то там нашел способ ссылаться на регистр флагов. Для тех из вас, кто задается вопросом, почему я не просто использую выражение без регистров флагов, мне более любопытно, как ссылаться на регистр флагов в том случае, когда я действительно нуждаюсь в нем.

Заранее благодарен!

Answer 1

AFAIK вы не можете разбить на определенное имя флага для EFLAGS, но вы можете получить значение из EFLAGS, так что вы все еще есть несколько возможностей оттуда:

примечание: проверено на OllyDbg v2.01

1) Разбейте все значение EFLAGS (обратите внимание, что значение регистра EFLAGS для условного синтаксиса ollydbg равно либо EFL, либо FLAGS).

EFL==0x246 

2) перерыв на конкретном флаге

• Вы должны знать flag position, например, ZF бит 6 (начало отсчета от 0).

• Либо использовать битовую позицию в качестве маски:

  пример с ZF (бит 6 установлен в 1 является 0x40): (EFL & 0x40)==0x40

• Сдвиг флаги по своей позиции, маскировать его только и испытание для него :

  пример с ZF (бит 6): (EFL >> 6) & 1==1