Русский / Russian English / Английский

Сейчас на форуме: Medsft
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› x64 reversing
Посл.ответ Сообщение

Ранг: 88.3 (постоянный)
Статус: Участник

Создано: 1 октября 2009 13:57 New!
Цитата · Личное сообщение · #1

Hi guys!

Есть какие нибудь инструменты для реверсинга x64 прог? Единственный отладчик для x64 по ходу WinDbg но там хз как остановится на entry point если нет символьных файлов, отладчик при загрузке всегда останавливается на ntdll!DbgBreakPoint...

Забыл еще про IDA, но она при старте пишет что надо использовать win64_remotex64.exe, только не понятно как...

Может кто еще предложит редактор/дизасм для x64, CFF Explorer - малость кривоват, не очень удобно использовать...

Ранг: 1.7 (гость)
Статус: Участник

Создано: 1 октября 2009 15:41 New!
Цитата · Личное сообщение · #2

int 3 пропиши на EP

Ранг: 88.3 (постоянный)
Статус: Участник

Создано: 1 октября 2009 16:00 New!
Цитата · Личное сообщение · #3

Это не вариант, для каждого файла не будешь вручную все время модифицировать. Наверное должны быть какие нибудь стандартные методы?


Ранг: 2006.0 (!!!!)
Статус: Модератор
retired

Создано: 1 октября 2009 17:51 New!
Цитата · Личное сообщение · #4

Символьные файлы вообще не при чём, если нужна точка входа. Бери да ставь на неё бряк руками. Для просмотра хедера символы, вроде как, не нужны. Что с идой непонятного-тоже хз, обычная модель клиент-сервер, запускай сервер, потом иду и делай коннект. А последние версии и ко всяким гдб/виндбг умеют коннект делать.
HIEW 8 умеет х64 парсить.
И ещё есть пара отладчиков, хотя и говняных, типа fdbg.
З.Ы. Сам бы хыть немного потыкал, чем на форум сразу бежать.


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 1 октября 2009 18:13 New!
Цитата · Личное сообщение · #5

Перейти на адрес EP и поставить бряк руками религия не позволяет?

Ранг: 88.3 (постоянный)
Статус: Участник

Создано: 1 октября 2009 18:13 New!
Цитата · Личное сообщение · #6

Спасибо Archer, что то по x64 уже вырисовывается!

Archer пишет:
HIEW 8 умеет х64 парсить.

Просто не запускается он под Vista x64 (ни под админом, ни без него, не под эмуляцией), хотя может быть потому что пробовал 7ую весрию...

Archer пишет:
Символьные файлы вообще не при чём, если нужна точка входа.

Как раз нужны символьные файлы самого исследуемого файла, если их нет то отладчик остановится на ntdll!DbgBreakPoint, а после просто запустит файл, без остановок. Почитай в гугле.

Archer пишет:
Бери да ставь на неё бряк руками

Если бы было все так просто, x64 частенько запускает exe с измененной ImageBase, найти значение на которое он это изменил в WinDbg проблема... WinDbg конечно не OllyDbg.. Хотя там вроде есть закладочка "Modules" можно посмотреть там новую ImageBase, вроде...

Archer пишет:
Что с идой непонятного-тоже хз, обычная модель клиент-сервер, запускай сервер, потом иду и делай коннект.

Запускаешь сервер, говорит что слушает порт, открываешь файл в IDA, вводишь Proccess Options для дебуггера, указываешь сервер windows64-remotex64 (вроде так), стартуешь файл, пишет что имя сервера правильное, а найти его он не может.

Archer пишет:
дб/виндбг умеют коннект делать

С коннектом на EP не встанешь.

Archer пишет:
З.Ы. Сам бы хыть немного потыкал, чем на форум сразу бежать.

Да вот и потыкал, просто так не стал бы писать...


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 1 октября 2009 18:17 New!
Цитата · Личное сообщение · #7

Enigma пишет:
Как раз нужны символьные файлы самого исследуемого файла, если их нет то отладчик остановится на ntdll!DbgBreakPoint, а после просто запустит файл, без остановок. Почитай в гугле.

Не болтайте ерундой - все прекрасно отлаживается и без символьных файлов.

Ранг: 88.3 (постоянный)
Статус: Участник

Создано: 1 октября 2009 18:24 New!
Цитата · Личное сообщение · #8

dermatolog пишет:
все прекрасно отлаживается и без символьных файлов.

Ну че же тут прекрасного когда дебуггер останавливается в недрах ntdll а не на EP?


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 1 октября 2009 18:32 New!
Цитата · Личное сообщение · #9

Enigma пишет:
Ну че же тут прекрасного когда дебуггер останавливается в недрах ntdll а не на EP?

Что вы как попка заладили про EP. Руками поставить бряк на нужный адрес не судьба?


Ранг: 2006.0 (!!!!)
Статус: Модератор
retired

Создано: 1 октября 2009 21:27 New!
Цитата · Личное сообщение · #10

Я идой отлаживал локально через клиент-сервер, всё было нормально, безо всяких доков и шаманства.
А базу виндбг превосходно пишет в лог при загрузке файла. Согласен, что не очень удобно тыкать руками, но вполне юзабельно.


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 1 октября 2009 23:08 New!
Цитата · Личное сообщение · #11

Archer пишет:
Я идой отлаживал локально через клиент-сервер, всё было нормально, безо всяких доков и шаманства.

+1

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 2 октября 2009 00:30 · Поправил: Clerk New!
Цитата · Личное сообщение · #12

Enigma
Пока тред до вашего входа доберётся(он является калбэком ), может быть куча чего вызвана как в самом модуле, так и в сторонних модулях.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 2 октября 2009 03:41 New!
Цитата · Личное сообщение · #13

псевдо-регистр:
bu @$exentry

оператор $iment:
bu $iment(exefile.exe)
bu $iment(dllfile.dll)


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 2 октября 2009 06:41 New!
Цитата · Личное сообщение · #14

Clerk
Кстати не в курсе что там поломали в Win7-х64 с TLS калбеками? Если у имейджа база >100000000, то в загрузчике получается AV.

Ранг: 88.3 (постоянный)
Статус: Участник

Создано: 2 октября 2009 12:11 · Поправил: Модератор New!
Цитата · Личное сообщение · #15

Archer Hexxx
Вот приаттачил скриншоты, remote server работает, гружу файл в иду, пускаю отладчик, вываливается следующее сообщение...

Clerk пишет:
Пока тред до вашего входа доберётся

эээ... это в каком смысле?


атач был удалён по причине кривых рук progopis'а

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 2 октября 2009 16:43 New!
Цитата · Личное сообщение · #16

dermatolog
Не интересуюсь x64.
Enigma
> эээ...
o Определение быдлокодера lurkmore.ru/Программист
o Метод его детекта: он не знает системные обьекты. Стоит спросить свойство любого - чёткий ответ не последует.
o Свойство быдло - полное отсутствие мотивации на обьект и желания использовать поиск для изучения его свойств(самостоятельный анализ не возможен).

Ранг: 88.3 (постоянный)
Статус: Участник

Создано: 2 октября 2009 17:31 New!
Цитата · Личное сообщение · #17

Archer - спасибо за советы.
fdbg ксатати да, не очень - лучше использовать WinDbg. IDA так и не смог запустить.
Для редактирования x64 лучше использовать Hiew 8.
Снимать дамп с x64 можно Task Explorer x64 который в комплекте CFF Explorer.
Содержимое x64 файлов просматривать CFF Explorer и LordPE.
Эти инструменты самые удобные что нашел.

Clerk - думал сначала ты действительно знающий, адекватный человек.. а оказывается ты обычное сука хамье.
 eXeL@B —› Основной форум —› x64 reversing
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ