eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: SDK, yashechka (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Mr.eXoDia x64 dbg
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 17 . 18 . >>
Посл.ответ Сообщение

Ранг: 7.7 (гость)
Статус: Участник

Создано: 11 декабря 2013 11:49 · Поправил: 3 мая 2016 21:30 Ra1n0 New!
Цитата · Личное сообщение · #1

Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory




| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator



Ранг: 325.8 (мудрец)
Статус: Участник

Создано: 14 февраля 2017 15:35 · Поправил: Vamit New!
Цитата · Личное сообщение · #2

может это то что Vamit ищет?
А что я ищу? Мне нужен норм дебагер, чтоб можно было видеть развернутый код после отработки протекторов и распаковки имиджа, возможность создания его дампа с восстановлением импорта, с поддержкой плагинов и чтоб всё это работало на Вин10. Ага, ещё и поддержку х64 хочу. Вот и всего-то))

r99
Это не то, чтоб что-то мигрировать его необходимо сначала получить. Там миграция осуществляется на основе дампов, а тут (в Ольке 2) их даже и не видно...


Ранг: 79.4 (постоянный)
Статус: Участник

Создано: 26 февраля 2017 20:53 New!
Цитата · Личное сообщение · #3

Code:
  1. https://github.com/x64dbg/x64dbg/releases/download/snapshot/snapshot_2017-02-26_07-32.zip


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 26 февраля 2017 21:12 New!
Цитата · Личное сообщение · #4

утром в течении часа было три билда
но эти обновы по ходу со сцилкой звязаны


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 13 марта 2017 13:53 · Поправил: Bronco New!
Цитата · Личное сообщение · #5

ScyllaHide_2017-03-03_15-29
PebHeapFlags = 1, In the application exception
Code:
  1. EXCEPTION_DEBUG_INFO:
  2.            dwFirstChance: 1
  3.            ExceptionCode: C0000005 (EXCEPTION_ACCESS_VIOLATION)
  4.           ExceptionFlags: 00000000
  5.         ExceptionAddress: 00000001418D621A sniperelite4_dx11.00000001418D621A
  6.         NumberParameters: 2
  7. ExceptionInformation[00]: 0000000000000001 Write
  8. ExceptionInformation[01]: 0000000000000000 Inaccessible Address
  9. First chance exception on 00000001418D621A (C0000005, EXCEPTION_ACCESS_VIOLATION)!

Error at the loader stage, before this was not
win10x64
============
пофиксили раскодировку указателей, теперь и по скрипту и в multiasm_x64dbg, вместо [rip+/-distance], получаем указатель.
добавили отображение текущей информации в окне скрипта.
и обещали изменить findasm для стандартного поиска без окна ссылок, и добавить findasmall
============
пинаю диа, но пока безрезультатно. кто за то чтобы в окне дампа были табы для лога и скрипта подключайтесь.
думал плагином, но тут всё в динамике создаётся,+кьютвиджеты, с этими пока не знаком.

Ранг: 22.0 (новичок)
Статус: Участник

Создано: 14 марта 2017 12:39 · Поправил: parfetka New!
Цитата · Личное сообщение · #6

начиная со середины января билды валятся на случайных файлах:
http://www.yourfilelink.com/get.php?fid=1333046
пасс:123456

mrexodia
файл jajc.exe - это клиент джабер: http://jajc.jrudevels.org/index.php?action=1
запускал на Win_7/x64, (сам файл jajc.exe - х32). Что значит: "malformed export directory" и "Workaround is implemented"? DIE пишет: "UPX(3.91)[NRV,brute], Borland Delphi(-)[-]" - ничего необычного. Более старые версии версии (2016 года) его открывают, как отдельный файл, так и в составе программы.

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 14 марта 2017 13:49 New!
Цитата · Личное сообщение · #7

parfetka пишет:
starting from mid-January builds fall on random files


jajc.exe has a malformed export directory, crashes in GetProcAddress. Workaround is implemented. Also some recent updates to the log view (much faster now).

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 23 марта 2017 14:28 New!
Цитата · Личное сообщение · #8

parfetka пишет:
mrexodia
file jajc.exe - a client Jaber: http://jajc.jrudevels.org/ ? index.php action = 1
runs on Win_7 / x64, (he jajc.exe file - x32). What does it mean: "malformed export directory" and "Workaround is implemented"? DIE wrote: "UPX (3.91) [NRV , brute], Borland Delphi (-) [-]" - nothing unusual. Older versions Version (2016) it is opened as a separate file, and as part of the program.


https://i.imgur.com/I6dGUvT.png

Ранг: 22.0 (новичок)
Статус: Участник

Создано: 23 марта 2017 22:22 New!
Цитата · Личное сообщение · #9

mrexodia
я надеюсь, вы что-нибудь придумаете

https://imgur.com/a/E93gS

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 27 марта 2017 12:03 New!
Цитата · Личное сообщение · #10

I have nothing to fix parfetka. The Windows API (GetProcAddress) is where it crashes.

Ранг: 22.0 (новичок)
Статус: Участник

Создано: 27 марта 2017 16:18 New!
Цитата · Личное сообщение · #11

"The Windows API (GetProcAddress) is where it crashes" - это я понимаю.
Я не понимаю, почему версия от 9.01.17г и ранее работают нормально (без плагинов) - открывают файл на OEP и трейсят, а версия от 10.01.17г и более поздние падают?

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 3 апреля 2017 01:07 New!
Цитата · Личное сообщение · #12

Just checked Parfetka, the binary you sent me us UPX and the export table is only extracted after it is unpacked. If you run upx -d jajc.exe everything works good.

Ранг: 13.4 (новичок)
Статус: Участник

Создано: 27 апреля 2017 11:34 New!
Цитата · Личное сообщение · #13

Подскажите, как в окне CPU переключаться на желаемый модуль?


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 27 апреля 2017 13:17 New!
Цитата · Личное сообщение · #14

карта памяти или табшит symbols

| Сообщение посчитали полезным: esa_r


Ранг: 15.9 (новичок)
Статус: Участник

Создано: 28 апреля 2017 02:27 New!
Цитата · Личное сообщение · #15

ctrl+g -> "ntdll:entry"


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 28 апреля 2017 03:48 · Поправил: Bronco New!
Цитата · Личное сообщение · #16

mrexodia, с этой понятно
Gui::Disassembly::SelectionSet(start, end);
с этой так же понятно
SELECTIONDATA select;
GuiSelectionGet(GUI_DISASSEMBLY, &select);
duint addr = (ULONGLONG)select.start;
duint size = (ULONGLONG)select.end - (ULONGLONG)select.start;
но для чего нужна Gui::Disassembly::SelectionGet(addr, end); ?
в описании ничего нет.
и что там с обещанной findasm?
как частный случай имеем более 40 000 испорченных указателей в таблице init, а в секции кода не больше одного джампа с той же конечной дистанцией. До какой сотни табшитов в окне реф отладчик не свалиться?


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 30 апреля 2017 08:13 · Поправил: Bronco New!
Цитата · Личное сообщение · #17

кажется баг
оригинал
Code:
  1. 66 41 83 F1 C1          | XOR R9W, FFC1 
  2. 66 41 83 F1 F7          | XOR R9W, FFF7 
  3. 66 83 F5 9A               | XOR BP, FF9A  
  4. 4D 8D BF F8 FF FF FF  | LEA R15, QWORD PTR DS:[R15 - 8] 

DbgAssembleAt(new_addr, currentdata.instruction);
результат
Code:
  1. 66 41 81 F1 C1 66 | XOR R9W, 66C1 
  2. 66 41 81 F1 F7 C1  | XOR R9W, C1F7 
  3. ---------------
  4. 66 81 F5 9A FF | XOR BP, FF9A 
  5. C6                    | ???  
  6. ---------------
  7. 4D 8D 7F F8 | LEA R15, QWORD PTR DS:[R15 - 8] 
  8. 00 00           | ADD BYTE PTR DS:[RAX], AL 
  9. 00 41 81       | ADD BYTE PTR DS:[RCX - 7F], AL 
  10. C3                | RET 

в итоге, ниже листинг ломается.
тыкнул на всяк случай
Code:
  1. if (currentdata.size != new_instr_len) { 
  2.  
  3. duint* sizeRead = 0;
  4. void* data;
  5. char *textcoment[] = { "<< - edit" };
  6. Script::Memory::Read(addr_start, &data, currentdata.size, sizeRead);
  7. Script::Memory::Write(new_addr, &data, currentdata.size, sizeRead);
  8. Script::Comment::Set(new_addr, *textcoment,0);
  9. Script::Bookmark::Set(new_addr, 0); }
  10.  

вышло больше
Code:
  1. Address          Disassembly
  2. 0000000130001218 xor bp,FF9A                  << - edit
  3. 00000001300004CE xor bp,FFF1                  << - edit
  4. 0000000130000610 xor r11w,FFB4                << - edit
  5. 00000001300008F4 lea r15,qword ptr ds:[r15-8] << - edit
  6. 0000000130000FD8 xor r9w,FFB3                 << - edit
  7. 0000000130000C11 xor r9w,FFC1                 << - edit
  8. 0000000130001827 xor r15w,FFAD                << - edit
  9. 0000000130000C63 xor r9w,FFF7                 << - edit
  10. 0000000130000D6B xor r9w,FF8D                 << - edit
  11. 000000013000146F xor r13w,FFCA                << - edit
  12. 00000001300016A3 xor di,FF9A                  << - edit
  13. 0000000130001945 xor r15w,FF89                << - edit

LEA R15, QWORD PTR DS:[R15 - 8] - тут как бы понятно, зловред Блаукович юзает хитрый дизасм длин, то с "XOR REG_WORD, FF...."явно бокарез.


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 30 апреля 2017 11:19 · Поправил: mak New!
Цитата · Личное сообщение · #18

when loading the database, April 29th version. Database from previous versions, if you delete it, then the new database is loaded normally

Code:
  1. Unhandled exception at 0x00007FF879F8CCA0 (msvcr120.dll) in x64dbg.exe: 0xC0000005: Access violation reading location 0x0000000000000000.
  2.  
  3. If there is a handler for this exception, the program may be safely continued.
  4.  
  5. Unhandled exception at 0x00007FF879F8CCA0 (msvcr120.dll) in x64dbg.exe: 0xC0000005: Access violation reading location 0x0000000000000000.
  6.  
  7. If there is a handler for this exception, the program may be safely continued.
  8.  
  9. Exception thrown at 0x00007FF879F8CCA0 (msvcr120.dll) in x64dbg.exe: 0xC0000005: Access violation reading location 0x0000000000000000.
  10.  
  11. If there is a handler for this exception, the program may be safely continued.
  12.  
  13. Unhandled exception at 0x00007FF879F8CCA0 (msvcr120.dll) in x64dbg.exe: 0xC0000005: Access violation reading location 0x0000000000000000.
  14.  
  15. If there is a handler for this exception, the program may be safely continued.


XAnalyzer.dp64 no longer defines a function or api call


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 30 апреля 2017 15:54 New!
Цитата · Личное сообщение · #19

mak пишет:
XAnalyzer.dp64 no longer defines a function or api call

так опенсорс, можно и подебажить.
неплохой плуг, но с жейсоном у отладчика борода, если после анализа, база данных от файла большая, он может и зависнуть на старте.

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 5 мая 2017 00:47 New!
Цитата · Личное сообщение · #20

Bronco Gui::Disassembly::SelectionGet will just do the same as GuiSelectionGet(GUI_DISASSEMBLY, ..) but this is because the Script api is used by different type of plugins (mostly it's meant for embedding python/lua in x64dbg), you can see some development at: https://github.com/x64dbg/x64dbgpy/blob/pybind11/scriptapi/scriptapi.cpp#L100

mak the crash should be fixed, your old databases will load fine again.

Ранг: 65.0 (постоянный)
Статус: Участник

Создано: 22 мая 2017 18:04 · Поправил: hash87szf New!
Цитата · Личное сообщение · #21

А есть ли функционал обновить "Memory Map"?
Скажем малварь инжектит свой dll/shellcode в процесс под xdbg, а в memory map его нет. Если же аттачить после инжекта, то он есть.
Можно модули как нибудь live обновить?

Litte bug:
On x64 Windows 10 Enterprise Version 1703
With ScyllaHide's only one option set: NtSetInformationProcess
Attaching to a x86 process produces two error messages, same as on page 7 in this thread:

---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
OK
---------------------------


---------------------------
ERROR
---------------------------
GetSysCallIndex32 -> sysCallIndex not found
---------------------------
OK
---------------------------

Maybe structs changed in Win10 and ScyllaHide doesnt know it yet.
edit
Page 5 has the reason, yeah...

Добавлено спустя 3 часа 31 минуту
Hardware Breakpoint stepping not supported?

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 31 мая 2017 16:50 New!
Цитата · Личное сообщение · #22

hash87szf ScyllaHide has been updated for Windows 10, see https://github.com/x64dbg/ScyllaHide/releases

| Сообщение посчитали полезным: Jaa, v00doo, hash87szf, mak


Ранг: 65.0 (постоянный)
Статус: Участник

Создано: 31 мая 2017 19:07 New!
Цитата · Личное сообщение · #23

If particularly smart running debugees escape xdbg and close themselves, than xdbg is deadlocked desperately waiting for something. Might be a good idea to check if the debugee process still exists and not wait for something to signal.


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 2 июня 2017 14:39 New!
Цитата · Личное сообщение · #24

mrexodia

The choice of colors seems to be broken?!



Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 7 июня 2017 19:46 New!
Цитата · Личное сообщение · #25

Кто не в курсе, здесь можно скачать последний ПДФ с документацией по отладчику - --> Link <-- Линк можно было бы добавить в шапку ...

Ранг: -12.1 (нарушитель)
Статус: Участник

Создано: 19 июня 2017 19:17 New!
Цитата · Личное сообщение · #26

Никто не подскажет, есть ли в этом отладчике возможность работы со своими исходниками на C, C++? Если есть, то куда копировать исходники и файлы символов (PDB) и как потом запустить сей процесс? Заранее спасибо.

P.S. Мануал, видимо, в данный момент самое слабое звено у x64dbg/x32dbg. В гугле тоже ничего не нашел.

Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 19 июня 2017 20:12 · Поправил: deniskore New!
Цитата · Личное сообщение · #27

dma пишет:
Никто не подскажет, есть ли в этом отладчике возможность работы со своими исходниками на C, C++? Если есть, то куда копировать исходники и файлы символов (PDB) и как потом запустить сей процесс? Заранее спасибо.

P.S. Мануал, видимо, в данный момент самое слабое звено у x64dbg/x32dbg. В гугле тоже ничего не нашел.

Можно, он показывает номера строк, как комментарий к ассемблерному коду.

Ранг: -12.1 (нарушитель)
Статус: Участник

Создано: 19 июня 2017 20:50 New!
Цитата · Личное сообщение · #28

deniskore пишет:
>> Можно, он показывает номера строк, как комментарий к ассемблерному коду.

deniskore, извиняюсь за занудство, если можно поподробней: куда(в какие папки) какие файлы(cpp, pdb ...) копировать, чтобы получить результат. Чтобы точно знать, что вот так должно работать. А то может у меня какой-нибудь глюк у Visual Studio при компиляции exe-файла?

Ранг: 386.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 19 июня 2017 20:58 New!
Цитата · Личное сообщение · #29

dma пишет:
куда(в какие папки) какие файлы(cpp, pdb ...) копировать, чтобы получить результат.

По-моему никуда ничего копировать не надо. Если в VS взведено пихание отладочной информации (а-ля Debug профиль), то дебагер автоматом должен подгрузить и подставить. Единственная проблема - всё это страшно сильно ТОРМОЗИИИИТ!


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 19 июня 2017 21:23 New!
Цитата · Личное сообщение · #30

dma отладчик сам подхватывает, если всё лежит в одной директории, имя не должно отличаться, если вы через батник поменяли имя конечно, может Вы забыли поставить галочку в настройках - "отладка соурс кода" ...

| Сообщение посчитали полезным: dma


Ранг: -12.1 (нарушитель)
Статус: Участник

Создано: 19 июня 2017 21:45 New!
Цитата · Личное сообщение · #31

пишет:mak
>> dma отладчик сам подхватывает, если всё лежит в одной директории

ELF_7719116, mak, спасибо, что откликнулись. mak, а директория имеется в виду debug Visual Studio или та где exe-файл x64dbg/x32dbg?

Добавлено спустя 49 минут
Вопрос снимается - разобрался. Как и предпологал mak, проблема была в измененном имени exe-файла, и в том, что не знал куда "приткнуть" PDB-файл. Еще раз всем спасибо - особенно mak.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 17 . 18 . >>
 eXeL@B —› Софт, инструменты —› Mr.eXoDia x64 dbg

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS