Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› x64dbg отладчик
<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . >>
Посл.ответ Сообщение

Ранг: 7.7 (гость)
Статус: Участник

Создано: 11 декабря 2013 11:49 · Поправил: 3 мая 2016 21:30 Ra1n0 New!
Цитата · Личное сообщение · #1

Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory




| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion



Ранг: 669.6 (! !)
Статус: Участник
CyberMonk

Создано: 26 февраля 2020 12:59 New!
Цитата · Личное сообщение · #2

mak пишет:
SergeyFil пишет:
подскажите, а на последних билдах у всех поиск по String стал очень долгим? Прям ну очень медленно ищет


Проблему нашли --> Link <--


Ранг: 59.6 (постоянный)
Статус: Участник

Создано: 26 февраля 2020 13:32 New!
Цитата · Личное сообщение · #3

mak
удивительно то , что кто-то дебажит софт на машине с говнософтом, именуемым "антивирус". Зачем?? Если , конечно, цель не реверс этого самого авера.
а то, что авер замедляет комп, не удивительно ни разу. говНод же сканирует всю память всех приложений, типа для защиты от "крипторов", а на деле это такой себе легальный мимикатц.


Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 29 февраля 2020 17:49 New!
Цитата · Личное сообщение · #4

А есть опция «Copy to executable»?
Ну чтобы изменения байт в ехе сохранить.


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 29 февраля 2020 17:58 · Поправил: Bronco New!
Цитата · Личное сообщение · #5

WELL, в дебагере обычный патчер.
------
свежий релиз, очень долго загружает файлы.

Ранг: 14.8 (новичок)
Статус: Участник

Создано: 29 февраля 2020 17:59 · Поправил: esa_r New!
Цитата · Личное сообщение · #6

WELL File->Patch file... спасет отца русской демократии

ЗЫ куда делись плугины для отладчика? больше не поддерживаются? Просто я с 2018 года не обновлял отладчик

| Сообщение посчитали полезным: WELL



Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 29 февраля 2020 18:10 New!
Цитата · Личное сообщение · #7

Bronco, esa_r, благодарю

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 17 марта 2020 18:45 New!
Цитата · Личное сообщение · #8

Есть возможность вывести в лог имена функций при массовой установке бп?
Так через "символы" можно задать точки останова на все функции модуля сразу, но при этом условных бп в выборе нет.

Цель - получить последовательный список имен всех вызываемых фунций из одной конкретной dll.
Осложняется все тем, что этих функций в сеттинге того же апи монтора нет, иначе просто посмотрел бы там.

Если x64 не умеет, может чем-то еще?


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 17 марта 2020 18:50 · Поправил: Bronco New!
Цитата · Личное сообщение · #9

Ate пишет:
Цель - получить последовательный список имен всех вызываемых фунций из одной конкретной dll

если имена есть, через формат строки их можно получить.
если это апи импорта или экспорта,вместо бп, может лучше на атрибутах раздела образа библы поиграться?


Ранг: 563.8 (!)
Статус: Участник
оптимист

Создано: 22 марта 2020 00:53 New!
Цитата · Личное сообщение · #10

Как в OllyDbg, так и в x64dbg, команда скрипта find работает через , старый добрый способ в 1000 раз быстрей
Code:
  1. Start:
  2. cmp 1:[$str],77
  3. jnz Trace
  4.  
  5.  
  6. Trace:
  7. add $str,1
  8. jmp Start


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 22 марта 2020 09:49 · Поправил: Bronco New!
Цитата · Личное сообщение · #11

ClockMan пишет:
команда скрипта find работает через

дык... тут яра двиг, ищет чётко.
я обычно для некст, смещаю адрес поиска на длину паттерна.
------------
как посчитать, состояние какого флага проверяют?
Code:
  1. PUSHFQ
  2. POP R11
  3. ROL R11, 0xA
  4. ROR R11, 0xB

Ранг: 416.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 24 марта 2020 17:01 New!
Цитата · Личное сообщение · #12

Вопрос дня: как x64dbg работает с исключениями?! Положим, нужно узнать все вектора, которые приложение повесило плюс смотреть контекст, после возникновения эксепшена (когда в NTDLL.KiUserExceptionDispatcher - повешенном векторе находимся )
Если дебагер поставил точку останова, вектора ведь тоже получат управление после отладчика, так подозреваю?


Ранг: 563.8 (!)
Статус: Участник
оптимист

Создано: 25 марта 2020 01:23 New!
Цитата · Личное сообщение · #13

ELF_7719116
--> Link <--

Ранг: 416.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 25 марта 2020 12:21 New!
Цитата · Личное сообщение · #14

ClockMan
Тут вопрос в самом механзиме. У отладчике есть гадский баг с неудаляемыми точками останова (аппаратными), если адрес поменялся при ремапе

mrexodia
Please fix critical bug with undeleted hardware breakpoints for unmapped sections (with different address)! I see hw bp in list, but can delete - No such hardware breakpoint "any_addr"


Ранг: 563.8 (!)
Статус: Участник
оптимист

Создано: 25 марта 2020 12:38 New!
Цитата · Личное сообщение · #15

ELF_7719116 пишет:
Тут вопрос в самом механзиме. У отладчике есть гадский баг с неудаляемыми точками останова (аппаратными), если адрес поменялся при ремапе

Параметры>Ядро>Игнорировать несовместимые точки останова????

Ранг: 416.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 25 марта 2020 13:47 New!
Цитата · Личное сообщение · #16

ClockMan пишет:
Параметры>Ядро>Игнорировать несовместимые точки останова???

Всё равно отдалчик не удаляет их из списка. Причем он их ставит, но не обрабатывает: из-за этого лютая дичь получается.


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 25 марта 2020 15:13 New!
Цитата · Личное сообщение · #17

Bronco пишет:
как посчитать, состояние какого флага проверяют?

вот не ожидал что вопрос сложный, дам подсказку, это проверяют состояние CF.
но вопрос остался..

Ранг: 47.6 (посетитель)
Статус: Участник

Создано: 29 марта 2020 10:21 · Поправил: _MBK_ New!
Цитата · Личное сообщение · #18

Извиняюсь за чайниковский вопрос, мне надо прерваться в момент считывания 36 байт, ставлю в x32dbg бряк на ReadFile - полет нормальный, останавливает везде.
Чуть усложняю - добавляю к бряку условие останова ([ESP+0C]==24) - запускаю, ничего не меняется, все равно останавливает везде. Где я туплю?

PS Все вкурил ( [ esp + 0C ] == 24) сработало как надо

Ранг: 13.2 (новичок)
Статус: Участник

Создано: 29 марта 2020 15:43 · Поправил: friend New!
Цитата · Личное сообщение · #19

Bronco пишет:
но вопрос остался..

Чё серьёзно?

Case ROR > ROL:
0xB - 0xA == 1 -> first flag -> Reserved, always 1 in EFLAGS (это не CF...)

bit flag
0 cf
1
2 pf
3
4 af
5
6 zf
7 sf
8 tf
9
10 df
11 of

Нужно только обдумать кейсы когда аргумент >64 и конструкции другой формы, типа ROR сначала итд.
Но биты ты крутить я думаю умеешь и арифметику знаешь.

И с твоего поста не ясно что чекают после ROR, может первый бит, а может и нет.

Добавлено спустя 7 минут
Есть возможность убрать подсветку с адреса но только на коротких джампах?

| Сообщение посчитали полезным: Bronco



Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 29 марта 2020 15:53 · Поправил: Bronco New!
Цитата · Личное сообщение · #20

friend пишет:
это не CF...

R11 = rflags = 0x201
а если так ROL R11, 0x3f?
покрути сдвиг вправо.
за внимание спасибо. лайкнул

Ранг: 13.2 (новичок)
Статус: Участник

Создано: 29 марта 2020 16:29 New!
Цитата · Личное сообщение · #21



А тема с кейсами, это честно говоря твое дело и вроде только дело времени нужного для их формулировки. Пример:
case ror < rol
8 bit register
76543210
rol 6
10765432
ror 2
32107654
4th bit is now least significat bit -> abs(2-6) or 6-2? Я не уверен, какой вариант правильный.

Если аргумент уйдёт за размеры регистира то модуло reg-1 выдаст позицию битa после рол'а, где то так... плюс минус один. Но это твоё занятие...


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 29 марта 2020 16:41 New!
Цитата · Личное сообщение · #22

friend, ROR R11, 0xB = ROL R11, 0x35, возможно здесь решение?

Ранг: 13.2 (новичок)
Статус: Участник

Создано: 29 марта 2020 17:12 · Поправил: friend New!
Цитата · Личное сообщение · #23

Я не пойму, ты прикалываешься надо мною? РОЛы информацию не теряют, возьми нарисуй регистр и смотри куда сдвинулся бит.
Алсо, что значит твой знак "равно"?

Пример 8 битного регистра, 76543210, flagpos 0 == cf
(flagpos + rol_arg) % reg_size == flagpos_after_rol

(0 + 1) % 8 == 1
(0 + 7) % 8 == 7
(0 + 8) % 8 == 0
(0 + 15) % 8 == 7 // После рола на 15 бит влево, cf оказывается на позиции 7 -> 07654321

Остаётся только с рором определиться.


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 29 марта 2020 17:26 · Поправил: Bronco New!
Цитата · Личное сообщение · #24

friend пишет:
ты прикалываешься надо мною?

у меня нет пока решения, у меня только догадки и поиск.
на PUSHFQ, не обращай внимание, это для конкретности что регистр r11 = состоянию рфлаг, не обязательно текущему.
friend пишет:
что значит твой знак "равно"?

операции идентичны по результу, два сдвига влево (0x35 + 0x0A) можно суммировать?
если да, то в итоге сдвиг влево на 63 позиции, если СF = 1, мы получим число, если СF = 0, то на выходе зеро.
у меня сейвят в контекст, 8 флагов по отдельности, и пока такая арифметика подходит.

Ранг: 13.2 (новичок)
Статус: Участник

Создано: 31 марта 2020 14:08 New!
Цитата · Личное сообщение · #25

Bronco пишет:
friend, ROR R11, 0xB = ROL R11, 0x35, возможно здесь решение?

Возможно, и оно очевидно, если проверяется первый бит.
Исходная позиция:

после операций бит на первом месте.

два сдвига влево (0x35 + 0x0A) можно суммировать?
Можно, если результат за границы регистра не выходит.

Ты же вроде ВМпрот разбирать умеешь, как ты про логику РОЛ/Р не знаешь?


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 31 марта 2020 16:26 New!
Цитата · Личное сообщение · #26

friend пишет:
и оно очевидно, если проверяется первый бит.

дякую, 2 схожих мнения лучшего одного.
friend пишет:
Ты же вроде ВМпрот разбирать умеешь, как ты про логику РОЛ/Р не знаешь?

хм.. я задал вопрос, дал подсказку, далее в форме вопросов предложил вариант решения, пока без утверждений и оформления.
ожидал подтверждения.
что вызывало сомнения?
вм гавнопрота давно смотрел, не помню чтобы тогда очень активно юзали сдвиги. в основном NOR и необратимые операции.

Ранг: 17.3 (новичок)
Статус: Участник

Создано: 2 апреля 2020 01:38 New!
Цитата · Личное сообщение · #27

ELF_7719116 пишет:
Please fix critical bug with undeleted hardware breakpoints for unmapped sections (with different address)! I see hw bp in list, but can delete - No such hardware breakpoint "any_addr"


Should be fixed now, thanks for the report

| Сообщение посчитали полезным: ELF_7719116, mak


Ранг: 47.6 (посетитель)
Статус: Участник

Создано: 4 апреля 2020 20:05 New!
Цитата · Личное сообщение · #28

Извиняюсь снова за чайниковский вопрос, к вечеру моск замылился
А как в x32dbg заменить один шаблон на другой? Скажем, я нашел стопятьсот вхождений шаблона в блоке - как их все разом поменять?


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 4 апреля 2020 22:20 New!
Цитата · Личное сообщение · #29

_MBK_ пишет:
заменить один шаблон на другой?

все сразу никак, замена только в процессе поиска, и если шаблон не больше 4 байт (для х32).

Ранг: 47.6 (посетитель)
Статус: Участник

Создано: 4 апреля 2020 22:48 New!
Цитата · Личное сообщение · #30

А может как нибудь скриптом? Уж сильно дохрена вхождений порядка тысячи


Ранг: 306.2 (мудрец)
Статус: Участник
Advisor

Создано: 4 апреля 2020 22:55 New!
Цитата · Личное сообщение · #31

_MBK_ пишет:
порядка тысячи

та это ни чём..))
я так понял тебе проще скелет тыкнуть.
Code:
  1. text = 0x140001000
  2. jmpall = 0
  3. guiupdatedisable
  4. next1:
  5. find text, #CC EB ?? CC#
  6. cmp $result,0
  7. je exit1
  8. adrr_jmp = $result
  9. dist = dis.branchdest(adrr_jmp+1)
  10. jmpall++
  11. log "{d:jmpall}.{p:adrr_jmp+1} | {p:dist}->{i:dist}
  12. 5:[dist] = 0xCCCCCCCCCC
  13. 2:[adrr_jmp+1] = 0xCCCC
  14. text = adrr_jmp + 5
  15. jmp next1
  16.  
  17. exit1:
  18. guiupdateenable
  19. ret

| Сообщение посчитали полезным: _MBK_

<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . >>
 eXeL@B —› Софт, инструменты —› x64dbg отладчик

Видеокурс ВЗЛОМ