Hi guys!

Есть какие нибудь инструменты для реверсинга x64 прог? Единственный отладчик для x64 по ходу WinDbg но там хз как остановится на entry point если нет символьных файлов, отладчик при загрузке всегда останавливается на ntdll!DbgBreakPoint...

Забыл еще про IDA, но она при старте пишет что надо использовать win64_remotex64.exe, только не понятно как...

Может кто еще предложит редактор/дизасм для x64, CFF Explorer - малость кривоват, не очень удобно использовать...

| Сообщение посчитали полезным:

int 3 пропиши на EP

| Сообщение посчитали полезным:

Это не вариант, для каждого файла не будешь вручную все время модифицировать. Наверное должны быть какие нибудь стандартные методы?

| Сообщение посчитали полезным:

Символьные файлы вообще не при чём, если нужна точка входа. Бери да ставь на неё бряк руками. Для просмотра хедера символы, вроде как, не нужны. Что с идой непонятного-тоже хз, обычная модель клиент-сервер, запускай сервер, потом иду и делай коннект. А последние версии и ко всяким гдб/виндбг умеют коннект делать.
HIEW 8 умеет х64 парсить.
И ещё есть пара отладчиков, хотя и говняных, типа fdbg.
З.Ы. Сам бы хыть немного потыкал, чем на форум сразу бежать.

| Сообщение посчитали полезным:

Перейти на адрес EP и поставить бряк руками религия не позволяет?

| Сообщение посчитали полезным:

Спасибо Archer, что то по x64 уже вырисовывается!

Archer пишет:
HIEW 8 умеет х64 парсить.
Просто не запускается он под Vista x64 (ни под админом, ни без него, не под эмуляцией), хотя может быть потому что пробовал 7ую весрию...

Archer пишет:
Символьные файлы вообще не при чём, если нужна точка входа.
Как раз нужны символьные файлы самого исследуемого файла, если их нет то отладчик остановится на ntdll!DbgBreakPoint, а после просто запустит файл, без остановок. Почитай в гугле.

Archer пишет:
Бери да ставь на неё бряк руками
Если бы было все так просто, x64 частенько запускает exe с измененной ImageBase, найти значение на которое он это изменил в WinDbg проблема... WinDbg конечно не OllyDbg.. Хотя там вроде есть закладочка "Modules" можно посмотреть там новую ImageBase, вроде...

Archer пишет:
Что с идой непонятного-тоже хз, обычная модель клиент-сервер, запускай сервер, потом иду и делай коннект.
Запускаешь сервер, говорит что слушает порт, открываешь файл в IDA, вводишь Proccess Options для дебуггера, указываешь сервер windows64-remotex64 (вроде так), стартуешь файл, пишет что имя сервера правильное, а найти его он не может.

Archer пишет:
дб/виндбг умеют коннект делать
С коннектом на EP не встанешь.

Archer пишет:
З.Ы. Сам бы хыть немного потыкал, чем на форум сразу бежать.
Да вот и потыкал, просто так не стал бы писать...

| Сообщение посчитали полезным:

Enigma пишет:
Как раз нужны символьные файлы самого исследуемого файла, если их нет то отладчик остановится на ntdll!DbgBreakPoint, а после просто запустит файл, без остановок. Почитай в гугле.
Не болтайте ерундой - все прекрасно отлаживается и без символьных файлов.

| Сообщение посчитали полезным:

dermatolog пишет:
все прекрасно отлаживается и без символьных файлов.
Ну че же тут прекрасного когда дебуггер останавливается в недрах ntdll а не на EP?

| Сообщение посчитали полезным:

Enigma пишет:
Ну че же тут прекрасного когда дебуггер останавливается в недрах ntdll а не на EP?
Что вы как попка заладили про EP. Руками поставить бряк на нужный адрес не судьба?

| Сообщение посчитали полезным:

Я идой отлаживал локально через клиент-сервер, всё было нормально, безо всяких доков и шаманства.
А базу виндбг превосходно пишет в лог при загрузке файла. Согласен, что не очень удобно тыкать руками, но вполне юзабельно.

| Сообщение посчитали полезным:

Archer пишет:
Я идой отлаживал локально через клиент-сервер, всё было нормально, безо всяких доков и шаманства.
+1

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Enigma
Пока тред до вашего входа доберётся(он является калбэком ), может быть куча чего вызвана как в самом модуле, так и в сторонних модулях.

| Сообщение посчитали полезным:

псевдо-регистр:
bu @$exentry

оператор $iment:
bu $iment(exefile.exe)
bu $iment(dllfile.dll)

| Сообщение посчитали полезным:

Clerk
Кстати не в курсе что там поломали в Win7-х64 с TLS калбеками? Если у имейджа база >100000000, то в загрузчике получается AV.

| Сообщение посчитали полезным:

Archer Hexxx
Вот приаттачил скриншоты, remote server работает, гружу файл в иду, пускаю отладчик, вываливается следующее сообщение...

Clerk пишет:
Пока тред до вашего входа доберётся
эээ... это в каком смысле?


атач был удалён по причине кривых рук progopis'а

| Сообщение посчитали полезным:

dermatolog
Не интересуюсь x64.
Enigma
> эээ...
o Определение быдлокодера lurkmore.ru/Программист
o Метод его детекта: он не знает системные обьекты. Стоит спросить свойство любого - чёткий ответ не последует.
o Свойство быдло - полное отсутствие мотивации на обьект и желания использовать поиск для изучения его свойств(самостоятельный анализ не возможен).

| Сообщение посчитали полезным:

Archer - спасибо за советы.
fdbg ксатати да, не очень - лучше использовать WinDbg. IDA так и не смог запустить.
Для редактирования x64 лучше использовать Hiew 8.
Снимать дамп с x64 можно Task Explorer x64 который в комплекте CFF Explorer.
Содержимое x64 файлов просматривать CFF Explorer и LordPE.
Эти инструменты самые удобные что нашел.

Clerk - думал сначала ты действительно знающий, адекватный человек.. а оказывается ты обычное сука хамье.

| Сообщение посчитали полезным: