eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 мая!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› new Syser Debugger by reversecode
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 21 мая 2017 04:33 · Поправил: reversecode New!
Цитата · Личное сообщение · #1

история реверса в оффтопе кто не видел --> Link <--
благодарностей не надо,
багов наверняка там еще много, как собственных так и в процесса реверса, TODO тоже еще есть
но в целом уже можно запустить, трейсить, ставить бп, добавлять вотчи, даже плагины, итд

интересны моменты(багрепорты) когда дебаггер будет падать

x32/x64 https://www.sendspace.com/file/t4lpr5 - недоступна, в розыске последняя версия кто успел сохранить

4 июня 2017, 20:59:10
http://rgho.st/67jjLSRTg


1607 210517
add handle int 3
fix mouse scroll
fix memory leak PEFile read import

0413 230517
fix crash on delete watch item
improve terminate debug
add FlushInstructionCache on WriteMemory
start debug from cmdline

2046 230517
improve reset(reload the input file) (WO hotkey)

1528 240517
hide BP(CCh) bytes from HexView, show original value
colored BP(code,data) in HexView
done re PopupMenu on HexView (hotkey not tested), operation toolbar in TODO
done re command(edit,move,compare) memory

0203 250517
done re ModuleList window
done re ascii/unicode string context ref
fix env path by add manifest

2224 250517
fix crash without dbg plugin
first build x64

1813 280517
fix mouse wheel scroll on x64
fix scroll by UPbtn bar
add ALT+ hotkey
fix fit hexview on x64
fix hexview change addr on edit addr area
fix align stackview on x64
fix str sym ref on \t
add resolve ctx ref on r8-r15 CPU reg x64
improve PE loader for x64, for resolve import/export sym
fix select bytes on hexview for x64
add show EB line jmp ref
chg addr/offs represent on codeview

0731 290517
fix PE Loader for x64, to read import/export for hibase > 32bit, as example kernelbase.dll
done re sym command, allow show/add symbol/use it for set breakpoint
fix readpe onload file, for correct read sizeof file for x64
fix search module range and module info status for x64

1258 040617
fix disable load x86 on syser x64
fix fmt fit addr exception violation on syser x64
fix PID/TID status and expr var
fix fit addr tab in code/data view for x64
fix 'p ret' cmd, run to return
implement SDK menu api
done re process list window (attach work, detach from target at todo)
starting re peexplorer window

1559 040617
fix load SyserColor.cfg from old SyserOption.exe util https://www.sendspace.com/file/l7r3pw

2058 040617
improve highlight keyword

api и пример плагина в архиве дистрибутива

x32



x64

| Сообщение посчитали полезным: zNob, difexacaw, shellstorm, plutos, r_e, dosprog, SReg, DICI BF, sefkrd, HandMill, Veliant, daFix, Vamit, ELF_7719116, v00doo, VanHelsing, -Sanchez-, Abraham, mak, Hugo Chaves, raiser, vden, MasterSoft, MarcElBichon, nice, chessgod101, stnt, 4kusNick, ==DJ==[ZLO], VOLKOFF, ClockMan, freudz, Dazz


Ранг: 263.2 (наставник)
Статус: Участник

Создано: 22 мая 2017 02:27 New!
Цитата · Личное сообщение · #2

reversecode

> где то выход за границы массивов и память портится по всем классам вниз...

При открытии самого себя крэшит в RtlFreeHeap().
Можно попробовать заюзать этот инструмент --> Link <--


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 22 мая 2017 02:46 · Поправил: reversecode New!
Цитата · Личное сообщение · #3

крешится даже оригинальный сисер, и даже олька не переносит если приложение лезет вызывать GetOpenFileNameA/W

ида с трудом переносит этот вызов, начинает делать дикий ребейс, и поитогу все равно слетает, а если и пытаеться жить то БП не работают

x64dbg не пробовал, но есть мысли что будет так же....

Добавлено спустя 1 минуту
если кто расскажет что там за секрет, то может и смогу пофиксить

Ранг: 263.2 (наставник)
Статус: Участник

Создано: 22 мая 2017 03:01 New!
Цитата · Личное сообщение · #4

reversecode

Без диалога, мышью перетянул, попробуйте сами. Слетает в недрах менеджера хипа, надо или по суркам нт разбираться или же каким то анализером памяти, на лету трудно сказать чего именно там побито.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 22 мая 2017 03:49 New!
Цитата · Личное сообщение · #5

reversecode пишет: x64dbg не пробовал, но есть мысли что будет так же....

Как ни странно, но работает, по поводу утечек и сайдов, я погорячился, забыл, что до этого тестил приложение с GC. и часть диагностик отключил. Попробуйте http://www.deleaker.com/ мелкая утилита и простая как лом, триала хватит для тестов. Плохо, что вы PDB не закинули в архив.

Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 22 мая 2017 04:12 New!
Цитата · Личное сообщение · #6

shellstorm, я так понимаю, pdb нет по той же причине, что нет и сорсов.
У меня он умудрился упасть на загрузке обычного приложения, поймать не успел, больше не падает, странно очень.

Ранг: 404.8 (мудрец)
Статус: Участник

Создано: 22 мая 2017 06:15 · Поправил: dosprog New!
Цитата · Личное сообщение · #7

v00doo пишет:
pdb нет по той же причине, что нет и сорсов.

) Причина вполне гуманная - оградить юзеров от ненужного головняка.
А то ведь полезут и себе ковырять

-----------------------------
reversecode
Кстати, маленькое типа пожелание
- не нужно заморачиваться со всякими там утилитами и чудачествами из главного меню, есть отдельные инструменты для этих целей. Это же не ring0 тулза.
А старые пункты меню поубирать вообще лишние.
Пускай остаётся в минимальной конфигурации, лучше довести до ума эргономичность и базовый функционал, чтобы стало действительно удобно.
И не тулить туда всякие приблудные библиотеки, потому что помимо ring3 есть ещё и ring0
Чисто теоретически

Ранг: 0.0 (гость)
Статус: Участник

Создано: 22 мая 2017 07:09 New!
Цитата · Личное сообщение · #8

dosprog пишет: А то ведь полезут и себе ковырять

Смысла нет, учитывая, что автор жив и помирать вроде бы не собирается, и учитывая, что есть открытая альтернатива с формировавшимся комьюнити. Даже некоторые коммерческие проекты идут с PDB, поскольку даже если кто то сделает клон от этого будет мало толку, кто будет фиксить баги и осуществлять техническую поддержку.


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 22 мая 2017 10:56 New!
Цитата · Личное сообщение · #9

открывал закрывал сисер сисером, все нормально
ничего не падает, видимо это проблемы из разряда заумности винды
где как мемори лик на который в одной винде падает, а в другой мемори хип игнорит что ему суют не тот участок памяти который выделяли

так я в оффтопе писал, что интерес к открытию соурсов уже пропал, умные люди отговорили
надоумили дотянуть до ring3 64 и закинуть на полку к другим тесерактам
будет интерес при котором можно будет вытянуть какой то комерс, хорошо
а нет, так пойду другими идеями заниматься

есть еще слабый интерес к ring0 32, который возможно будет уже для приватных билдов в комерц
и совсем фантастической идея ring0 64

тему пошевелили, так смотри может китаезы воскреснут и выйдут девелопить опять свой сисер

| Сообщение посчитали полезным: r_e



Ранг: 127.3 (ветеран)
Статус: Участник
Qt Developer

Создано: 22 мая 2017 12:18 · Поправил: hors New!
Цитата · Личное сообщение · #10

reversecode пишет:
интерес к открытию соурсов уже пропал


reversecode пишет:
вытянуть какой то комерс


reversecode пишет:
для приватных билдов в комерц


Торговля рипнутыми исходниками ворованной китайской программы 10 летней давности не самая лучшая идея


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 22 мая 2017 12:41 New!
Цитата · Личное сообщение · #11

исходниками пока еще никто не торгует, говорилось о программе
где могут быть заинтересованы в своих сборках

а вообще сходи китайцам это расскажи которые абибасами торгуют каждый день и зарабатывают точно не копейки
или пром гигантам которые каждую красивую царапину патентуют
а джаст фофан тратить время у меня желания нет
если интерес не пропадет, ring3 64 и топик клосед

Ранг: 0.0 (гость)
Статус: Участник

Создано: 22 мая 2017 14:40 New!
Цитата · Личное сообщение · #12

reversecode пишет:есть еще слабый интерес к ring0 32, который возможно будет уже для приватных билдов в комерц и совсем фантастической идея ring0 64

Не тратьте время если вам это не нужно для личного использования или для получения каких то знаний в процессе. Удаленной отладкой пользуются не потому что нет альтернативы, а потому что вся ось может лечь и соответственно есть не иллюзорный риск потерять данные, в общем коммерческого успеха данная затея не принесет.


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 22 мая 2017 15:45 New!
Цитата · Личное сообщение · #13

комерц интерес когда к тебе прихоят и говорят,
- вот тебе денег - отдай нам сорсы
или
- вот тебе тебе денег, только переделай нам вот так и этак и хотим еще что бы доработать что то
итд

где вы сейчас комерц увидели ? ну гнилой конь везде влезет, это да
а так в целом хотелось по развивать дебагер для народа, с учетом скучности альтернатив

| Сообщение посчитали полезным: Bronco, AKAB



Ранг: 323.4 (мудрец)
Статус: Участник

Создано: 22 мая 2017 18:14 New!
Цитата · Личное сообщение · #14

reversecode пишет:
с учетом скучности альтернатив

Мда, альтернатив не густо, я как-то собирался Ольку 2 реверснуть и до ума довести, но как увидел, что она под Борландом писана, так всё желание и пропало...


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 22 мая 2017 19:00 · Поправил: reversecode New!
Цитата · Личное сообщение · #15

пока суть да дело,
разобрался с падением по рестарту
пришлось нормально сделать отладочный треид,

оказывается нужна была DebugActiveProcessStop
причем еще и вызываться должна с того треида где был отладочный цикл .. ? в документации мелких ничего об этом не говорится...
а иначе кричит акксесс денайд, и никакие привилегии не помогают
только через гугл случайно наткнулся на
--> Link <--
Is DebugActiveProcessStop called from the same thread that is running the debugging loop?
казалось бы, какая в фиг разница ? оно что биндится к треиду а не к процессу ? вообщем работает

добавил еще запуск с ком строки, и там же аттач по пиду тоже

дорефакторю юнины сделаю билд

Ранг: 0.3 (гость)
Статус: Участник

Создано: 22 мая 2017 21:43 New!
Цитата · Личное сообщение · #16

Планируется ли добавление соурс дебагинга, как в оригинале? Эта фича была бы крайне полезна.
Учитывая уже проделанную фантастическую работу, восстановить и этот функционал не будет сложной задачей для автора.

Ранг: 508.6 (!)
Статус: Модератор

Создано: 22 мая 2017 22:03 New!
Цитата · Личное сообщение · #17

reversecode пишет:
только через гугл случайно наткнулся на


толи еще будет (ойойой)

HawkNelson пишет:
Планируется ли добавление соурс дебагинга, как в оригинале? Эта фича была бы крайне полезна.

пишите сразу какого компилера, ибо в разном вендора разная дебаг база ....


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 22 мая 2017 22:49 New!
Цитата · Личное сообщение · #18

соурс дебагинг пока нет
хочется еще дебаг инфу с pdb подтягивать что бы асм был красивее и юзабельнее
и в x64 портировать
мелкие хотелки думаю как то будем стараться доделывать

все остальное крупные хотелки за донейты или по настроению автора, в будущее смотреть не могу
мои ресурсы не безразмерные

Ранг: 300.0 (мудрец)
Статус: Участник

Создано: 22 мая 2017 23:13 New!
Цитата · Личное сообщение · #19

Vamit пишет:
Мда, альтернатив не густо, я как-то собирался Ольку 2 реверснуть и до ума довести, но как увидел, что она под Борландом писана, так всё желание и пропало...

Задавался той же целью. Отреверсил большую часть внутренних структур, переменных и функций. В чем разница между ехе от борланда и от msvc? Там чистый С без плюсов. Больше напрягает, что в некоторых функциях свалены тонны кода. Есть подозрение что в оригинале были inline функции. Или циклы вида
Code:
  1. for (...)
  2. a->field_N = var
  3. a++

превращаются в
Code:
  1. = &a->field_N
  2. for ( ... )
  3. *= var
  4. p++

Ида такое не осиливает. Только руками.


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 23 мая 2017 04:20 · Поправил: reversecode New!
Цитата · Личное сообщение · #20

обновил, надеюсь рефакторинг юнион структур ничего не сломал
один баг падения исправил, при удалении елемента с вотч окна
0413 230517
fix crash on delete watch item
improve terminate debug
add FlushInstructionCache on WriteMemory
start debug from cmdline


так начинайте реверсить рейс)) я один ничего не успею

| Сообщение посчитали полезным: dosprog, sendersu


Ранг: 404.8 (мудрец)
Статус: Участник

Создано: 23 мая 2017 06:02 · Поправил: dosprog New!
Цитата · Личное сообщение · #21

) О. норм.

Только вот непонятно, что там с ресетом - неплохо бы ему назначить Ctrl+F2 кнопку стандартно
и разобраться, почему после завершения отлаживаемой программы неактивен пункт меню "Reset",
так что приходится делать "Load" по новой.
Так же странно ведёт себя и оригинальная версия.


Ранг: 508.6 (!)
Статус: Модератор

Создано: 23 мая 2017 08:03 New!
Цитата · Личное сообщение · #22

reversecode пишет:
все остальное крупные хотелки за донейты


пора уже бтц кошель или иной завести?


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 23 мая 2017 10:37 New!
Цитата · Личное сообщение · #23

да я все помню, но пока то что требует больших изменений, стараюсь не трогать


Ранг: 323.4 (мудрец)
Статус: Участник

Создано: 23 мая 2017 11:02 · Поправил: Vamit New!
Цитата · Личное сообщение · #24

Veliant пишет:
В чем разница между ехе от борланда и от msvc?

Разница в ГУИ, с Борландом лет 10 уже как не работаю, а перетягивать их гуи в MFC не вижу смысла, а в остальном конечно разница невелика, но она есть...
А под чем интересно оригинал Сисера написан?


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 23 мая 2017 11:07 · Поправил: reversecode New!
Цитата · Личное сообщение · #25

аттач по пиду с ком строки или консоли сисера, вместо имени кейссенситив \PID:десятичное_число
хотя брякается оно внутри ntdll.dll ... вообщем надо еще дорабатывать что бы брякалось на коде самого сисера

сисер все кастомное самописное от носа до хвоста, а так msvc c++

Ранг: 0.0 (гость)
Статус: Участник

Создано: 23 мая 2017 11:38 New!
Цитата · Личное сообщение · #26

Veliant пишет: Задавался той же целью.

+1. Тоже думал реверснуть сам отладочный движок, в итоге утонул в гуи простынях и инлайнах, в общем забил на реверс олли.


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 23 мая 2017 20:47 · Поправил: reversecode New!
Цитата · Личное сообщение · #27

спешиал фо доспрог
2046 230517
improve reset(reload the input file) (WO hotkey) - без хоткея

Ранг: 404.8 (мудрец)
Статус: Участник

Создано: 23 мая 2017 23:17 New!
Цитата · Личное сообщение · #28

Спс.


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 24 мая 2017 15:37 · Поправил: reversecode New!
Цитата · Личное сообщение · #29

1528 240517
hide BP(CCh) bytes from HexView, show original value
colored BP(code,data) in HexView
done re PopupMenu on HexView (hotkey not tested), operation toolbar in TODO
done re command(edit,move,compare) memory

Добавлено спустя 1 минуту
подсветил БП в хексвьюве, в сисере было заложено но не реализовано
експорт данных в буфер обмена с хексвьюва главное работает))

Добавлено спустя 9 часов 52 минуты
https://stackoverflow.com/questions/10431689/what-are-these-strange-environment-variables
=::=::\
с такими путями весь ENV

столкнулся с этой бедой на сисере, у запущенного приложения похерен ENV, который унаследован уже от запущенного syser.exe
у которого он сам похерен

оказывается не хватает манифеста, любого прицепленного
заодно и иконки прицепил

Добавлено спустя 10 часов 28 минут
0203 250517
done re ModuleList window
done re ascii/unicode string context ref
fix env path by add manifest


Ранг: 1003.6 (!!!!)
Статус: Участник

Создано: 25 мая 2017 22:23 New!
Цитата · Личное сообщение · #30

добавил в шапку x64
вроде не падает, хотя еще есть что доделывать.. но основное вроде работает
тестируем)

| Сообщение посчитали полезным: sendersu, shellstorm, v00doo, VodoleY, HandMill, Veliant, Dart Raiden, Hugo Chaves


Ранг: 0.0 (гость)
Статус: Участник

Создано: 26 мая 2017 00:06 New!
Цитата · Личное сообщение · #31

reversecode пишет: тестируем)

Погонял x64, потыкал все менюшки, ни упало ни на одном таргете.
Для статистики, тестировал на w7 sp 1.
Странное поведение у F11 почему то работает как F8.
На некоторых инструкциях нет выравнивания по установленному отображению uppercase
<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Софт, инструменты —› new Syser Debugger by reversecode
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS