eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rmn, RAMZEZzz (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Mr.eXoDia x64 dbg
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . >>
Посл.ответ Сообщение

Ранг: 7.7 (гость)
Статус: Участник

Создано: 11 декабря 2013 11:49 · Поправил: 3 мая 2016 21:30 Ra1n0 New!
Цитата · Личное сообщение · #1

Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory




| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator



Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 21 июня 2017 11:52 · Поправил: mak New!
Цитата · Личное сообщение · #2

mrexodia

Windows XP SP3

Code:
  1. ---------------------------
  2. x32dbg: x32dbg.exe - Entry Point Not Found
  3. ---------------------------
  4. The procedure entry point K32GetModuleBaseNameA could not be located in the dynamic link library KERNEL32.dll. 
  5. ---------------------------
  6. OK   
  7. ---------------------------

--> Link <--

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 24 июня 2017 00:24 New!
Цитата · Личное сообщение · #3

mak Just tried on Windows XP x86 SP3 with snapshot_2017-06-21_18-53.zip and it appears to work fine...

| Сообщение посчитали полезным: mak


Ранг: 69.5 (постоянный)
Статус: Участник

Создано: 24 июня 2017 01:31 · Поправил: sefkrd New!
Цитата · Личное сообщение · #4

mrexodia
In some case, when i've found in references some needed string or command, i can't go to the offset of references on double click of mouse..


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 24 июня 2017 13:01 New!
Цитата · Личное сообщение · #5

mrexodia
Look once more please this question
--> Link <--


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 24 июня 2017 19:09 New!
Цитата · Личное сообщение · #6

Как игрушка - поделка годная. Для серьёзных задач как и всякая игрушка не годится. Интерфейс пленный и корявый.

Ранг: 69.5 (постоянный)
Статус: Участник

Создано: 24 июня 2017 20:39 New!
Цитата · Личное сообщение · #7

difexacaw пишет:
Как игрушка - поделка годная. Для серьёзных задач как и всякая игрушка не годится. Интерфейс пленный и корявый.

И всё, это весь конструктив..


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 25 июня 2017 01:31 New!
Цитата · Личное сообщение · #8

sefkrd

А какой конструктив вам нужен, железячная трассировка уже не актуальна. Она обнаруживается элементарно, по этому никакое приложение с защитой не может быть трассировано без ручной обработки напильником.


Ранг: 539.1 (!)
Статус: Участник
оптимист

Создано: 25 июня 2017 02:23 New!
Цитата · Личное сообщение · #9

difexacaw пишет:
Как игрушка - поделка годная. Для серьёзных задач как и всякая игрушка не годится. Интерфейс пленный и корявый.

Ты прав как всегда ждём от тебя нормальный 64 битный дебаггер

| Сообщение посчитали полезным: ELF_7719116, DimitarSerg, zNob



Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 25 июня 2017 02:39 New!
Цитата · Личное сообщение · #10

ClockMan

Нормальный 64 отладчик это виндбг. И что такое отладчик - корявый гуй и годный дизасм. Это собирается скриптами и нет разницы в архитектуре, так к примеру bea может дизасмить 64. Принципиально нет разницы в архитектуре.
Другое дело само отладочное ядро. Если вы используете для трассировки TF - то такой отладчик уже давно не актуален. Так как им вы никакое приложение с защитой не отладите. Сейчас всё делается через визоры/виртуализацию, а не отладку через древние механизмы лаб работ.


Ранг: 213.0 (наставник)
Статус: Участник
Тот ещё Lamer

Создано: 28 июня 2017 10:04 New!
Цитата · Личное сообщение · #11

чутка не въезжаю в сабж. решил вст поковырять. нашёл нужные мне строки, поставил бряки, гружу савихост и нифига не происходит, как переключиться на длл не нашёл.
есть мнение, что делаю что-то не так, как привык.

Ранг: 133.8 (ветеран)
Статус: Участник

Создано: 28 июня 2017 11:32 New!
Цитата · Личное сообщение · #12

difexacaw пишет:
Сейчас всё делается через визоры/виртуализацию, а не отладку

Вот только чтобы снять защиту от виртуализации все равно зачастую нужен банальный отладчик

| Сообщение посчитали полезным: mak



Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 28 июня 2017 22:18 New!
Цитата · Личное сообщение · #13

VOLKOFF

Зачем он нужен ?
Как через отладчик найти выборку данных, строку например - да никак, забудьте уже про отладчик. И какое отношение к этому имеет вирт - никакого, чушь.

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 3 июля 2017 12:57 New!
Цитата · Личное сообщение · #14

sefkrd

Double click will follow in the dump sometimes based on memory protection. Right click -> follow in disassembler will force following in the disassembler.

mak

I think the bug with the color grid should be fixed now.


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 3 июля 2017 14:16 New!
Цитата · Личное сообщение · #15

mrexodia

On the new version without changes, I checked the clean build, everything is fine there. There seems to be a problem in the processing of styles or in the style itself, I use

Code:
  1. ---------------------------
  2. About
  3. ---------------------------
  4. Highlightfish v1.0 Build Date 13/07/2014 
  5. Released by Insid3Code Team
  6.  
  7. C)2014 I3CT
  8. ---------------------------
  9. OK   
  10. ---------------------------


and

Visual Studio Dark by ThunderCls --> Link <--
with Visual Studio Dark Theme color scheme --> Link <--

I tried other styles, no change. Perhaps this is the error of the CSS file. Its not clear where the error is. Ill take a look ...

P.S. The latest version works really fast for me, what did you change?


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 10 июля 2017 12:36 New!
Цитата · Личное сообщение · #16

mrexodia

In the new version everything works fine (Jul 08). If you subsequently change several styles, then there is a possibility that the new style is not activated, or only partially. The reason is the x64dbg.ini file, there seems to be a leak in this file, old settings affect new settings. The solution was for me to delete the configuration file and re-applying the new style. Not a critical error, but an improvement for gui

My thanks to you and your team for the wonderful job you did on the Project.


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 5 сентября 2017 15:22 · Поправил: mak New!
Цитата · Личное сообщение · #17

mrexodia

Commits on Sep 4, 2017
The debugger does not respond after trying to close the debugging, on both versions, 64 bit and 32 bit, execution of plug-in unloading hangs during closing process ... the debugger no longer closes, a second attempt at debugging causes errors, opening a duplicate copy of the debugger leads to a synchronization error ... on the previous version everything was fine.





Code:
  1. Debugging stopped!
  2. AutoCmdLine unloaded. 
  3. Waiting for the debuggee to be stopped...
  4. Aborting scripts...
  5. Unloading plugins...
  6. [PLUGIN] APISearch.dp64 unloaded
  7. [PLUGIN] AutoCmdLine.dp64 unloaded

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 11 сентября 2017 18:41 New!
Цитата · Личное сообщение · #18

Issue should be fixed now mak...

| Сообщение посчитали полезным: mak


Ранг: 386.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 17 сентября 2017 12:48 New!
Цитата · Личное сообщение · #19

XEDParse assembly this
Code:
  1. LEA R15, [0xfffffffebec45000 + RAX]
  2. LEA RCX, [0xfffffffebec45000 + R15]
  3. and etc

as:
Code:
  1. 49 8D 0F                    | lea rcx,qword ptr ds:[r15]
  2. 00 50 C4                    | add byte ptr ds:[rax-3C],dl
  3. BE FE FF FF FF            | mov esi,FFFFFFFE
  4.  90                            | nop

Ранг: 15.9 (новичок)
Статус: Участник

Создано: 23 сентября 2017 01:23 New!
Цитата · Личное сообщение · #20

ELF_7719116 I recommend to use asmjit. It is much better than XEDParse.


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 26 сентября 2017 15:25 · Поправил: Bronco New!
Цитата · Личное сообщение · #21

mrexodia, can not change the attributes of a page (section)
Code:
  1. ADDRESS = Module::BaseFromAddr(list->last->instruction->address) + 0x1000;
  2. bool one_right_changed = DbgFunctions()->SetPageRights(ADDRESS, "ERWC-");

or
Code:
  1. DWORD LastProtect;
  2. ADDRESS = Module::BaseFromAddr(list->last->instruction->address) + 0x1000;
  3. one_right_changed = VirtualProtect((LPVOID)ADDRESS, sz, PAGE_EXECUTE_READWRITE, &LastProtect);

one_right_changed = false????
Through the memory card interface, the attributes change


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 9 октября 2017 11:55 · Поправил: mak New!
Цитата · Личное сообщение · #22

Обновление за вчера начинает использовать - Zyan Disassembler Engine (Zydis) ?!

--> Link <--
Code:
  1. Replace Capstone with Zydis
  2. - While at it, added branch info logic to disassembler class
  3.   - Thus reduce direct checks by mnemonic in GUI and analysis code
  4. - Replaced direct disassembler struct access with disassembler class calls where trivially possible
  5. - Removed workarounds for empty segment registers
  6. - Temp. disabled `cbInstrCapstone` command
  7. - Temp. disabled flag stuff in `QBeaEngine`

--> Link <-- много других изменений

P.S. Первые баги, стиль отладчика вновь слетел

| Сообщение посчитали полезным: sefkrd, ELF_7719116


Ранг: 386.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 9 октября 2017 19:26 New!
Цитата · Личное сообщение · #23

mak пишет:
Первые баги

До сих пор, когда дебажишь exe'шники со прилепленной отладочной информацией (допустим своя прога в Visual Studio) и ставишь точки останова - то при её срабатывании отладчик наглухо вешается секунд на 10. После одупления при трассировке отладочная информация на дисплее может пропадать. Иногда (в последней вроде такого пока не обнаружил) при трассировке отладчик вешается на пару секунд и сразу трассирует штук 20 команд при единожды нажатой кнопке.
Ещё в variables можно было бы вшить по-дефолту $peb, $kuser, $ntdll, $kernel32.
Кстати, а как заставить отладчик отображать дефолтные структуры, типа PE-хидера или PEB, а-ля OllyDbg? (Подгружать через Parse header??)


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 9 октября 2017 20:30 · Поправил: mak New!
Цитата · Личное сообщение · #24

ELF_7719116 Скрытые ошибки, репортить такое нет смысла, если нельзя повторить вновь. У меня тоже временами бывают необычные ошибки, никак не связанные с защитой программы, по возможности я пытаюсь найти или сделать пример который вызывает ошибку, но не всегда с результатом.

Чтобы улучшить парсинг или устранить зависания можно отправлять ехе с pdb файлом прямо как баг репорт, если конечно есть возможность и софт не закрытый, иначе не пофиксят. С примером можно будет замерить тайминги и найти утечку.

ELF_7719116 пишет:
Кстати, а как заставить отладчик отображать дефолтные структуры, типа PE-хидера или PEB, а-ля OllyDbg? (Подгружать через Parse header??)


Есть такой плагин LabelPEB --> Link <-- пока меня устраивал этот вариант. Точно так же можно сделать и для Пе. Есть же ещё вкладка Struct, где можно загрузить хидер со структурой, но я сам не пробовал ещё этот способ.

| Сообщение посчитали полезным: plutos



Ранг: 535.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 9 октября 2017 23:32 New!
Цитата · Личное сообщение · #25

mak пишет:
Есть такой плагин LabelPEB


У меня после biuld'a в VS 2015 in bin directory 4 файла: LabelPEB.exp, LabelPEB.lib, LabelPEB.pdb, LabelPEB.dp64,
a LabelPEB.dll не видно.
Искал что-то вроде readme, но не нашел.
Что именно класть и куда, чтобы debugger "увидел" этот plugin?


Ранг: 307.7 (мудрец)
Статус: Участник

Создано: 9 октября 2017 23:49 New!
Цитата · Личное сообщение · #26

plutos
Клади LabelPEB.dp64 в папку с плагинами для x64.
А вообще, очевидно же: Copy *.dp32 and/or *.dp64 files to x32/x64 plugins directory of x64dbg.

| Сообщение посчитали полезным: plutos



Ранг: 535.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 10 октября 2017 00:14 · Поправил: plutos New!
Цитата · Личное сообщение · #27

mysterio пишет:
очевидно же


оно конечно очевидно, но например scylla.dll находится в другом месте (in ...\x64), а ...\х64\plugins вообще пустой.
положил все куда нужно, но debugger видит только scylla.


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 10 октября 2017 00:30 · Поправил: Bronco New!
Цитата · Личное сообщение · #28

mak пишет:
Есть такой плагин LabelPEB

Поля в структуре имеют разный размер, и лейбы в этом плаге пересекаются. в общем не путёво реализовали.
ProcessMM в фавориты, тулза хоть и дельфовая, но все структурированные разделы процесса, очень грамотно раскладывает.
mak пишет:
Обновление за вчера начинает использовать - Zyan Disassembler Engine (Zydis)

в последнем снапе пока нет, хз чем капстон не угодил.
пока вроде убрали Keystone, хотя либа в депсах лежит


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 10 октября 2017 13:10 New!
Цитата · Личное сообщение · #29

Bronco пишет:
ProcessMM в фавориты, тулза хоть и дельфовая, но все структурированные разделы процесса, очень грамотно раскладывает.


Ссылка?! Я случайно потерял собранные утилиты, когда баги ловил =)


Ранг: 535.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 10 октября 2017 23:17 · Поправил: plutos New!
Цитата · Личное сообщение · #30

Разобрался со своим вопросом. Помещу разъяснение на тот случай если вдруг у кого будет похожее заблуждение. Это маловероятно, но все же.
Дело в том, что данный plugin проявляет себя не так, как я ожидал.
Как любезно разъяснил мне многоуважаемый МАС:

"После копирования при старте любой программы в листинге появляется комент типа PEB.указатель на поинтер, например когда любая программа стартует, то в рсх будет лежать один из указателей, он будет подписан как пеб адресс, т.е. в листинге теперь любые динамические адерса должны показывать пеб раскодировку при условии, что адрес указывает на пеб. Если щёлкнуть по рсх к примеру и нажать перейти в дамп, то в окне дампа покажется полная раскодировка ПЕБА .. далее можно перейти по структуре и тоже дальше будет раскодировка."

Так что у меня все работало, но я этого не осознавал.

Добавлено спустя 7 часов 39 минут
parfetka пишет:
залейте уже этот плагин на форум! Не у всех же есть студия, чтобы скомпилить..


не нужно мне присылать в "личные сообщения" свои гневные требования: я тебе ничего не должен, дружище. Вот тебе ссылка, качай: https://github.com/x64dbg/LabelPEB/releases (Скажи спасибо МАСу!)

| Сообщение посчитали полезным: parfetka



Ранг: 61.8 (постоянный)
Статус: Участник

Создано: 12 октября 2017 01:21 · Поправил: Haoose-GP New!
Цитата · Личное сообщение · #31

mak пишет:
Ссылка?!

--> Link <--

| Сообщение посчитали полезным: mak, mkdev, plutos

<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . >>
 eXeL@B —› Софт, инструменты —› Mr.eXoDia x64 dbg

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS