Русский / Russian English / Английский

Сейчас на форуме: user99 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› new Syser Debugger by reversecode 2020
<< . 1 . 2 . 3 . 4 . 5 .
Посл.ответ Сообщение


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 18 марта 2020 20:15 · Поправил: reversecode New!
Цитата · Личное сообщение · #1




--> todo <--

--> changelog <--

--> https://github.com/marakew/syser/ <--

Добавлено спустя 0 минут
reload
just for fun like a hobby


1711 180320
- restart the project
- new build for x86
- fix close debugger while in modal window
- add menu history
- add bookmark
- implement all console command
- implement pe explorer
- implement run tracer
- new width for dataview, allow by popup menu
- prepare for source debugging

0001 200320
- add options for settings and color
- some settings can be apply without restart
- colors can be apply without restart
- add setting for monitor window to move position left/right
- font size setting need to restart

0030 210320
- allow run on winxp
- fix crash when close debugger with many windows
- disable change IF EFLAGS
- disable edit segment reg/base
- fix color ADDR in codeview
- reimplement colors update settings

1153 210320
- alpha build x64

1810 220320
- fix output unsigned ptr in engine for x64
- fix output expression format for x64
- reimplement scroll limit for codeview
- fix disassembler to show symbol in codeview
- fix dissassembler to follow code/data at imm
- add show group data as qword for x64 (dblcick on address in hexview)
- fix pe read export function names for x64
- fix pe explorer address field for x64
- fix pe tls for x64
- fix crash while using setenv in console for x64
- fix debugger detach process only from attached
- fix trace step on "mov ss" for x64
- fix using cap button close/max/min for x64
- regress: there need restart to use new color, will improve realtime in future

1811 220320
- fix search plugin in Plugin dir

1430 230320
- implement FPU reg "%1.7e"
- implement XMM 8/16 reg by dword x 4
- fix instr info for qword data
- fix all disassm in uppercase
- fix debugger leak handle
- revert fix for detached process
- fix debugger handle unload dll

1030 250320
- fix output ESC chars in strings
- add load public symbols from pdb

1245 270320
- fix mistake/warn found by clang
- fix debugger trace range
- fix same key pressed twice, used with source level debugging
- source level debugging

1730 280320
- fix position close button on tab
- add breakpoints on source code
- add bookmarks on source code

0631 290320
- fix debug trace
- fix infinet loop - out of range by msdia length for source level

0504 2020
- add more symbols from pdb
- add var names in statements for source level debugging
- fix dont follow to source level if set follow to codeview

1805 050420
- fix detect unicode string
- add more symbols from pdb (static vars)

| Сообщение посчитали полезным: TryAga1n, dima_0007, morgot, Orlyonok, Vnv, r_e, stnt, ClockMan, plutos, Gideon Vi, Hugo Chaves, Veliant, agk70, HandMill, dosprog, DimitarSerg, yashechka, LordGarfio, b30wulf, icerix


Ранг: -9.0 (нарушитель)
Статус: Участник

Создано: 29 марта 2020 05:04 New!
Цитата · Личное сообщение · #2

Нет, reversecode, что-то не то.
Можно же попробовать на WinMain остановиться - должно сразу срабатывать без всяких нажатий на кнопки.





Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 29 марта 2020 06:43 New!
Цитата · Личное сообщение · #3

0631 290320
- fix debug trace
- fix infinet loop - out of range by msdia length for source level

подстава от msdia
в мс считают что если в конце функции таблица свичей, то это все еще функция и ее статемент

| Сообщение посчитали полезным: ClockMan, ex_DMA


Ранг: 412.3 (мудрец)
Статус: Участник

Создано: 29 марта 2020 07:27 · Поправил: dosprog New!
Цитата · Личное сообщение · #4

Вопрос такой - не понятно, как в этом отладчике реализуется формирование фонтов.
По идее ведь используются матричные шрифты, но их битмапов нет.

Зато есть вот такие строчки:

Code:
  1. \Skin\Default
  2.  
  3. \VertInc.bmp
  4. \VertDec.bmp
  5. \HorzInc.bmp
  6. \HorzDec.bmp
  7. \Min.bmp
  8. \Max.bmp
  9. \Normal.bmp 
  10. \Close.bmp
  11. \RedioBox.bmp
  12.  
  13. \Cursor\Arrow.bmp
  14. \Cursor\Drag.bmp
  15. \Cursor\HResize.bmp 
  16. \Cursor\VResize.bmp 
  17. \Cursor\LResize.bmp 
  18. \Cursor\RResize.bmp 
  19.  
  20. \Font\Font8x16.dat
  21. \Font\WF8x16.dat
  22. \Font\Font6x12.dat
  23. \Font\WF6x12.dat
  24. \Font\ASCI1216.dat
  25. \Font\EBCD1216.dat
  26. \Font\ANSI1216.dat


Это всё хозяйство как-то работает?



Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 29 марта 2020 07:38 New!
Цитата · Личное сообщение · #5

в dat файлах лежат они

Ранг: 412.3 (мудрец)
Статус: Участник

Создано: 29 марта 2020 07:44 · Поправил: dosprog New!
Цитата · Личное сообщение · #6

То есть если посунуть ему эти файлы, то шрифты будут таскаться оттуда?
А если этих dat-файлов нет?

--Добавлено--

Имелись в виду эти файлы:
Code:
  1. \Font\Font8x16.dat
  2. \Font\WF8x16.dat
  3. \Font\Font6x12.dat
  4. \Font\WF6x12.dat
  5. \Font\ASCI1216.dat
  6. \Font\EBCD1216.dat
  7. \Font\ANSI1216.dat




Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 29 марта 2020 07:50 New!
Цитата · Личное сообщение · #7

без дат файлов не взлетит вся гуи
там не только шрифты

Ctrl+[F1/F2]+Alt переключает между разными рендерами
но картинки и шрифты все равно тянет с дат файлов
один базовый для гуи
второй дебагеровский иконки восновном

Ранг: 20.0 (новичок)
Статус: Участник

Создано: 29 марта 2020 14:37 New!
Цитата · Личное сообщение · #8

reversecode пишет:
подстава от msdia
в мс считают что если в конце функции таблица свичей, то это все еще функция и ее статемент

это ведь правильно, они ведь не являются чем то отдельным от функи. +помогает разбирать свич статемент и таблицы индирект.
если нужно найти оффсет, где заканчивается код чистый, то первый оффсет первой таблицы будет сразу за ним.
насколько помню, это относится и к включенному RTC (runtime error checks). проверьте при желании.


Ранг: 288.8 (наставник)
Статус: Участник
Advisor

Создано: 29 марта 2020 14:51 New!
Цитата · Личное сообщение · #9

soft пишет:
то первый оффсет первой таблицы будет сразу за ним

не всегда, это точно, возможно начало бранч табле выравнивают

Ранг: 20.0 (новичок)
Статус: Участник

Создано: 29 марта 2020 15:35 New!
Цитата · Личное сообщение · #10

Bronco пишет:
не всегда, это точно, возможно начало бранч табле выравнивают

если вспомнится где найти пример такого в виде бинарника, опубликуйте, пожалуйста. мне такого видеть не приходилось.


Ранг: 288.8 (наставник)
Статус: Участник
Advisor

Создано: 29 марта 2020 16:02 · Поправил: Bronco New!
Цитата · Личное сообщение · #11

soft пишет:
если вспомнится где найти пример такого в виде бинарника, опубликуйте, пожалуйста. мне такого видеть не приходилось

Code:
  1. 0000000140189470 41 5E     POP R14
  2. 0000000140189472 41 5D     POP R13
  3. 0000000140189474 5F        POP RDI
  4. 0000000140189475 C3        RET
  5. 0000000140189476 CC        INT3
  6. 0000000140189477 CC        INT3
  7. 0000000140189478 CC        INT3
  8. 0000000140189479 CC        INT3
  9. 000000014018947A CC        INT3
  10. 000000014018947B CC        INT3
  11. 000000014018947C CC        INT3
  12. 000000014018947D CC        INT3
  13. 000000014018947E CC        INT3
  14. 000000014018947F CC        INT3
  15. 0000000140189480 CC        INT3
  16. 0000000140189481 0F 1F 00  NOP DWORD PTR DS:[RAX], EAX
  17.  
  18. 0000000140189484 0018900300188FF5 
  19. 000000014018948C 001893BE00189011 
  20. 0000000140189494 00189336001892FE 
  21. 000000014018949C 0018906800189393 
  22. 00000001401894A4 001890AF0018901F 
  23.  

вау...да полно..просто недавно стояла задача покрытия функций_процедур, в которых есть свичи.
к примеру анализ в х64дбг отличный, но код кейсов не покрывал, да и ваще только Ида покрывала.
мало того задача стояла вернуть на родные места тела функций, + пересчитать бранч табле, так что насмотрелся, пока отлаживал.

Ранг: 20.0 (новичок)
Статус: Участник

Создано: 29 марта 2020 16:25 · Поправил: soft New!
Цитата · Личное сообщение · #12

спасибо, но я имел в виду загрузить файл exe, чтобы обкатать на своих инструментах. это возможно?


Ранг: 288.8 (наставник)
Статус: Участник
Advisor

Создано: 29 марта 2020 16:30 · Поправил: Bronco New!
Цитата · Личное сообщение · #13

soft, любая гейм А класса, а может и не А.
не важно на сколько близко к телу сама таблица, указатель на начало таблицы, всё равно ведь в теле функции.
а без него дисты на кейсы не доступны.
кстати мне попадалось тело, где бранч табле было в другом разделе образа.


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 29 марта 2020 18:54 · Поправил: reversecode New!
Цитата · Личное сообщение · #14

soft
это интерфейс диа который дает длинну статемента по исходнику

конкретно в этом случае
где видно что диа дает длинну 0x90
а по факту длинна 5 на retn он обрывается
поскольку для открытия статемента в сорурсе используется дизасм длин и длинна которую дает диа
то был бесконечный цикл длинна никогда не сойдется, дис длин пойдет по таблице данных

Code:
  1. ** unsigned long CalcIt(unsigned int, int, unsigned int)
  2.  
  3.  
  4.          line 55/55 at [000011D0][0001:000001D0], len = 0x11  C:\9_2_Vis_Studio_1\hex_calc_vs2019\hex_calc_vs2019.(MD5: B84EA4A10A7FBB5974A76028EC62770D)
  5.          line 56/56 at [000011E1][0001:000001E1], len = 0x39
  6.          line 58/58 at [0000121A][0001:0000021A], len = 0x9
  7.          line 59/59 at [00001223][0001:00000223], len = 0x11
  8.          line 60/60 at [00001234][0001:00000234], len = 0x11
  9.          line 61/61 at [00001245][0001:00000245], len = 0xE
  10.          line 62/62 at [00001253][0001:00000253], len = 0x11
  11.          line 63/63 at [00001264][0001:00000264], len = 0xE
  12.          line 64/64 at [00001272][0001:00000272], len = 0xE
  13.          line 65/65 at [00001280][0001:00000280], len = 0xF
  14.          line 66/66 at [0000128F][0001:0000028F], len = 0xF
  15.          line 67/67 at [0000129E][0001:0000029E], len = 0x25
  16.          line 68/68 at [000012C3][0001:000002C3], len = 0x27
  17.          line 69/69 at [000012EA][0001:000002EA], len = 0x2
  18.          line 71/71 at [000012EC][0001:000002EC], len = 0x90


Code:
  1. .text:00000001400012EA 018 33 C0                                   xor     eax, eax        ; jumptable 0000000140001218 default case, cases 39-41,44,46,48-59,63-93,95-123
  2. .text:00000001400012EC
  3. .text:00000001400012EC                             loc_1400012EC:                          ; CODE XREF: CalcIt+4E&#8593;j
  4. .text:00000001400012EC                                                                     ; CalcIt+5F&#8593;j ...
  5. .text:00000001400012EC 018 48 83 C4 18                             add     rsp, 18h
  6. .text:00000001400012F0 000 C3                                      retn
  7. .text:00000001400012F0                             ; ---------------------------------------------------------------------------
  8. .text:00000001400012F1 000 0F 1F 00                                align 4
  9. .text:00000001400012F4 000 C3 12 00 00 53 12 00 00+jpt_140001218   dd offset $LN14 - 140000000h
  10. .text:00000001400012F4 000 45 12 00 00 23 12 00 00+                                        ; DATA XREF: CalcIt+3E&#8593;r
  11. .text:00000001400012F4 000 34 12 00 00 9E 12 00 00+                dd offset $LN8 - 140000000h ; jump table for switch statement
  12. .text:00000001400012F4 000 80 12 00 00 1A 12 00 00+                dd offset $LN7 - 140000000h
  13. .text:00000001400012F4 000 8F 12 00 00 72 12 00 00+                dd offset $LN5 - 140000000h
  14. .text:00000001400012F4 000 64 12 00 00 EA 12 00 00                 dd offset $LN6 - 140000000h
  15. .text:00000001400012F4                                             dd offset $LN13 - 140000000h
  16. .text:00000001400012F4                                             dd offset $LN11 - 140000000h
  17. .text:00000001400012F4                                             dd offset $LN4 - 140000000h
  18. .text:00000001400012F4                                             dd offset $LN12 - 140000000h
  19. .text:00000001400012F4                                             dd offset $LN10 - 140000000h
  20. .text:00000001400012F4                                             dd offset $LN9 - 140000000h
  21. .text:00000001400012F4                                             dd offset def_140001218 - 140000000h
  22. .text:0000000140001324 000 00 01 0B 0B 0B 02 03 0B+byte_140001324  db      0,     1,   0Bh,   0Bh
  23. .text:0000000140001324 000 04 0B 05 0B 0B 0B 0B 0B+                                        ; DATA XREF: CalcIt+36&#8593;r
  24. .text:0000000140001324 000 0B 0B 0B 0B 0B 0B 0B 06+                db    0Bh,     2,     3,   0Bh ; indirect table for switch statement
  25. .text:0000000140001324 000 07 08 0B 0B 0B 0B 0B 0B+                db      4,   0Bh,     5,   0Bh
  26. .text:0000000140001324 000 0B 0B 0B 0B 0B 0B 0B 0B+                db    0Bh,   0Bh,   0Bh,   0Bh
  27. .text:0000000140001324 000 0B 0B 0B 0B 0B 0B 0B 0B+                db    0Bh,   0Bh,   0Bh,   0Bh
  28. .text:0000000140001324 000 0B 0B 0B 0B 0B 0B 0B 0B+                db    0Bh,   0Bh,   0Bh,     6
  29. .text:0000000140001324 000 0B 09 0B 0B 0B 0B 0B 0B+                db      7,     8,   0Bh,   0Bh
  30. .text:0000000140001324 000 0B 0B 0B 0B 0B 0B 0B 0B+                db    0Bh,   0Bh,   0Bh,   0Bh
  31. .text:0000000140001324 000 0B 0B 0B 0B 0B 0B 0B 0B+                db    0Bh,   0Bh,   0Bh,   0Bh
  32. .text:0000000140001324 000 0B 0B 0B 0B 0B 0B 0B 0A                 db    0Bh,   0Bh,   0Bh,   0Bh
  33. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  34. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  35. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  36. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  37. .text:0000000140001324                                             db    0Bh,     9,   0Bh,   0Bh
  38. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  39. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  40. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  41. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  42. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  43. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Bh
  44. .text:0000000140001324                                             db    0Bh,   0Bh,   0Bh,   0Ah
  45. .text:0000000140001324                             CalcIt          endp
  46. .text:0000000140001324
  47. .text:000000014000137C CC                          unk_14000137C   db 0CCh ; М ; DATA XREF: .pdata:0000000140006018&#8595;o
  48. .text:000000014000137D CC                                          db 0CCh ; М
  49. .text:000000014000137E CC                                          db 0CCh ; М
  50. .text:000000014000137F CC                                          db 0CCh ; М
  51.  


Добавлено спустя 2 часа 43 минуты
soft пишет:
это ведь правильно

и нет, я не считаю что это правильно
длинна функции насколько я помню можно получить по другому
скорее это баг мсдиа

я вот не помню, студия умеет открывать статемент ?
если умеет то покажите кто то картинку как она этот последний статемент открывает у себя
и что там видно в конце
жертва на странице ранее


Ранг: 288.8 (наставник)
Статус: Участник
Advisor

Создано: 29 марта 2020 22:00 New!
Цитата · Личное сообщение · #15

reversecode пишет:
скорее это баг мсдиа

ого..аж 5 букав оставил.
----------
это не баг, это отсутствие функционала, даёт длину того что в его датафлоу
обсуждение было, обнов бриджа пока нет.

Ранг: 20.0 (новичок)
Статус: Участник

Создано: 30 марта 2020 00:23 · Поправил: soft New!
Цитата · Личное сообщение · #16

Bronco
выравнивание там конечно же присутствует и до и после, как правило. то я запутался малость.

reversecode
Хорошо, какую линию исходного текста мне должен вернуть диа если я запрошу findLinesByRVA для VA в Вашем примере 0000000140001324 по Вашему мнению?
Диа в этом случае укажет на оффсет SymTagFuncDebugEnd, возможно спорное решение, но достаточно логичное. Вам, видимо, остается только изворачиваться и не открывать статемент в сорурсе, оффсет которого больше оффсета SymTagFuncDebugEnd или что то типа того


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 30 марта 2020 00:29 New!
Цитата · Личное сообщение · #17

SymTagFuncDebugEnd тоже уже аут оф ранж
конец функции это
Code:
  1. .text:00000001400012F0 000 C3                                      retn

так что мое мнение бага msdia
но я это в любом случае обошел
статемент открывается корректно
Code:
  1. Function       : static, [000011D0][0001:000001D0], len = 000001AC, CalcIt
  2.                  Function attribute:
  3.                  Function info: strict_gs_check
  4. FuncDebugStart :   static, [000011E1][0001:000001E1]
  5. FuncDebugEnd   :   static, [0000137C][0001:0000037C]
  6. Data           :   static, [00001324][0001:00000324], Static Local,
  7. Data           :   static, [000012F4][0001:000002F4], Static Local,
  8. Label          :   static, [000012C3][0001:000002C3], $LN14
  9. Label          :   static, [0000129E][0001:0000029E], $LN13
  10. Label          :   static, [0000128F][0001:0000028F], $LN12
  11. Label          :   static, [00001280][0001:00000280], $LN11
  12. Label          :   static, [00001272][0001:00000272], $LN10
  13. Label          :   static, [00001264][0001:00000264], $LN9
  14. Label          :   static, [00001253][0001:00000253], $LN8
  15. Label          :   static, [00001245][0001:00000245], $LN7
  16. Label          :   static, [00001234][0001:00000234], $LN6
  17. Label          :   static, [00001223][0001:00000223], $LN5
  18. Label          :   static, [0000121A][0001:0000021A], $LN4
  19. Data           :   rsp Relative, [00000020], Param, Type: unsigned int, iFirstNum
  20. Data           :   rsp Relative, [00000028], Param, Type: int, iOperation
  21. Data           :   rsp Relative, [00000030], Param, Type: unsigned int, iNum

Ранг: 20.0 (новичок)
Статус: Участник

Создано: 30 марта 2020 01:07 New!
Цитата · Личное сообщение · #18

интересно, а какая версия диа используется?


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 30 марта 2020 10:12 New!
Цитата · Личное сообщение · #19

в дебагере я подключил оригинальную 80
а выводы dia dump какой то 140
на самом деле проблема то не в самой диа
а в том как мс пишет pdb
диа всего лишь прочитает значение которое там записано

Ранг: 20.0 (новичок)
Статус: Участник

Создано: 30 марта 2020 12:17 New!
Цитата · Личное сообщение · #20

пересмотрел несколько разных программ собранных в VS2008 SP1 (dia90), у всех оффсет SymTagFuncDebugEnd совпадает с оффсетом последней line функи (из findLinesByRVA).
( в Вашем случае должно было бы быть SymTagFuncDebugEnd = [000012EC][0001:000002EC] = line 71/71 at [000012EC][0001:000002EC] )

Видимо эти данные зависят от версии компилятора и изменений формата PDB.
например в dia140 (140 это версия студии, в данном случае Visual Studio 2015) появились новые SymTag, которых нет в dia90 (Visual Studio 2008)
Code:
  1. SymTagCallSite
  2. SymTagInlineSite
  3. SymTagBaseInterface
  4. SymTagVectorType
  5. SymTagMatrixType
  6. SymTagHLSLType
  7. SymTagCaller
  8. SymTagCallee
  9. SymTagExport
  10. SymTagHeapAllocationSite
  11. SymTagCoffGroup


добавление новых соглашений о вызовах
Code:
  1. CV_ALWAYS_INLINED
  2. CV_CALL_NEAR_VECTOR

и т.д.

что говорит о расширении формата PDB, и раз не совпадает SymTagFuncDebugEnd, то и, видимо, о изменении его либо его логики.


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 30 марта 2020 12:23 New!
Цитата · Личное сообщение · #21

да можно будет собрать с последним msdia и проверить что она дает

Ранг: -9.0 (нарушитель)
Статус: Участник

Создано: 30 марта 2020 15:29 New!
Цитата · Личное сообщение · #22

Кто про что, а "слепой" про "фотоаппараты" (это я про себя, если что)

reversecode, а вам бы хотелось иметь в new Syser'е трассировщик по исходникам? Чтобы загрузил какой-нибудь файл, нажал Continue(F5), а отладчик бы выдал трассу в виде лог-файла с названием файла(листинга) .c/.cpp, номером строки в листинге, ну и, соответственно, саму строчку кода. Либо все то же самое, но от одного BP до другого.

Я почему спрашиваю? Просто вспомнил старый вопрос с форума, человек спрашивал про подобный функционал в Вижуал Студии. На который reversecode ответил, что такого в Студии нет и, вообще, подобное ему не встречалось, что сам бы с удовольствием таким бы воспользовался, но увы. Я ничего не путаю и как насчет лога трассировки по исходникам? Существуют ли какие-нибудь технические сложности реализации подобной идеи?


Ранг: 676.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 30 марта 2020 22:33 New!
Цитата · Личное сообщение · #23

ex_DMA
Intel V-Tune так умеет, если вам прям вот сейчас надо юзать.

| Сообщение посчитали полезным: ex_DMA


Ранг: -9.0 (нарушитель)
Статус: Участник

Создано: 30 марта 2020 23:44 · Поправил: ex_DMA New!
Цитата · Личное сообщение · #24

ARCHANGEL пишет:
Intel V-Tune так умеет, если вам прям вот сейчас надо юзать.


ARCHANGEL, спасибо за наводку (и на пиво =) ). Попробую найти и потестировать, но ответ reversecode все равно интересен - что он думает по этому поводу? Для меня проект new Syser, уже стал своего рода спортивным соревнованием и интересно кто же одержит победу - наши или "картофельная страна третьего мира"? Которая постоянно пытается внушить нашим, что это несерьезно и постоянно подбивает бросить этот проект.


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 31 марта 2020 00:01 New!
Цитата · Личное сообщение · #25

а юзает кто win7 32 бита ?
зашарте файлы

dxg.sys
dxgkrnl.sys
gdi32.dll
hal.dll
kernel32.dll
ntdll.dll
ntoskrnl.exe
win32k.sys


Ранг: 86.0 (постоянный)
Статус: Участник

Создано: 31 марта 2020 01:01 New!
Цитата · Личное сообщение · #26

reversecode пишет:
зашарте файлы

https://ufile.io/cudn8lvm

| Сообщение посчитали полезным: reversecode



Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 31 марта 2020 01:31 New!
Цитата · Личное сообщение · #27

user32.dll еще забыл


а что за данные за таблицей сервисов в win32k ?

это таблица начало
Code:
  1. .data:BFA06000                             _data           segment para public 'DATA' use32
  2. .data:BFA06000                                             assume cs:_data
  3. .data:BFA06000                                             ;org 0BFA06000h
  4. .data:BFA06000 37 3D 99 BF                 _W32pServiceTable dd offset _NtGdiAbortDoc@4
  5. .data:BFA06000                                                                     ; DATA XREF: DriverEntry(x,x)+142&#8595;o
  6. .data:BFA06000                                                                     ; NtGdiAbortDoc(x)
  7. .data:BFA06004 23 BC 9A BF                                 dd offset _NtGdiAbortPath@4 ; NtGdiAbortPath(x)


а это в конце что за карта ?
Code:
  1. .data:BFA06CDC 3C FE 90 BF                                 dd offset _NtUserHwndQueryRedirectionInfo@16 ; NtUserHwndQueryRedirectionInfo(x,x,x,x)
  2. .data:BFA06CE0 13 2A 90 BF                                 dd offset _NtUserHwndSetRedirectionInfo@16 ; NtUserHwndSetRedirectionInfo(x,x,x,x)
  3. .data:BFA06CE4 01 01 00 00 00 00 00 01+                    db 1, 1, 0, 0, 0, 0, 0, 1, 1, 0, 0, 1, 1, 1, 1, 1, 1, 1
  4. .data:BFA06CE4 01 00 00 01 01 01 01 01+                    db 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1
  5. .data:BFA06CE4 01 01 01 01 01 01 01 01+                    db 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1
  6. .data:BFA06CE4 01 01 01 01 01 01 01 01+                    db 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1
  7. .data:BFA06CE4 01 01 01 01 01 01 01 01+                    db 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1


аргументы итд это все уже идет дальше
Code:
  1. .data:BFA07023 00                                          db    0
  2. .data:BFA07024 39 03 77 09                 _gDispatchTableValues dd 9770339h       ; DATA XREF: NtUserProcessConnect(x,x)+53&#8593;r
  3. .data:BFA07028 39 03 00 00                 _W32pServiceLimit dd 825                ; DATA XREF: DriverEntry(x,x)+136&#8595;r
  4. .data:BFA0702C 04 04 18 10 14 08 0C 30+    _W32pArgumentTable db 4, 4, 18h, 10h, 14h, 8, 0Ch, 30h, 18h, 0, 4, 28h, 8
  5. .data:BFA0702C 18 00 04 28 08 04 2C 04+                                            ; DATA XREF: DriverEntry(x,x)+131&#8595;o
  6. .data:BFA0702C 20 04 08 08 18 10 0C 04+                    db 4, 2Ch, 4, 20h, 4, 8, 8, 18h, 10h, 0Ch, 4, 10h, 8, 14h
  7. .data:BFA0702C 10 08 14 14 04 04 20 0C+                    db 14h, 4, 4, 20h, 0Ch, 4, 18h, 2Ch, 24h, 10h, 4, 0Ch
  8. .data:BFA0702C 04 18 2C 24 10 04 0C 04+                    db 4, 14h, 8, 0Ch, 10h, 10h, 18h, 18h, 8, 10h, 4, 4, 4


Ранг: 1125.9 (!!!!)
Статус: Участник

Создано: 31 марта 2020 06:23 New!
Цитата · Личное сообщение · #28

reversecode пишет:
user32.dll еще забыл


пак от свежеобновленной системы: 0.7z

| Сообщение посчитали полезным: reversecode



Ранг: 288.8 (наставник)
Статус: Участник
Advisor

Создано: 31 марта 2020 12:56 New!
Цитата · Личное сообщение · #29

ex_DMA пишет:
Варианты:

полная фуйня, а больше похоже на детский сад.
Пока идёт разработка_отладка кода, это будет доступно для обсуждения и тестов.
Форум для этого наилучшая среда. Что будет дальше, может решить только один человек, и у него такое право есть.
Халява в доступе к будущему, напрямую зависит от текущего участия в процессе, и это не просто файлы для теста подкидывать.
Сорцы? да они нужны только в одном случае, если проект затух, а хочется плюшку, или что то поправить.

Ранг: 588.9 (!)
Статус: Модератор

Создано: 31 марта 2020 14:00 New!
Цитата · Личное сообщение · #30

ex_DMA
Перестань демагогию разводить. Есть что по делу сказать - вперед.


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 5 апреля 2020 15:25 · Поправил: reversecode New!
Цитата · Личное сообщение · #31

0504 2020
- add more symbols from pdb (some functions)
- add var names in statements for source level debugging
- fix dont follow to source level if set follow to codeview

1805 050420
- fix detect unicode string
- add more symbols from pdb (static vars)
<< . 1 . 2 . 3 . 4 . 5 .
 eXeL@B —› Софт, инструменты —› new Syser Debugger by reversecode 2020

Видеокурс ВЗЛОМ