 |
eXeL@B —› Основной форум —› кто каким трэйсером пользуется ? |
| Посл.ответ | Сообщение |
|
|
Создано: 11 ноября 2009 15:45 · Личное сообщение · #1 Всем привет, выбираю для себя трэйсер на уровне маш. инструкций. Т.е. задача получения лога выполняемых инструкций и только! Кому что нравится ? У кого какая религия в этом вопросе ? ;) ----- My love is very cool girl.  |
|
|
Создано: 11 ноября 2009 16:19 · Личное сообщение · #2 Олли |
|
|
Создано: 11 ноября 2009 16:32 · Личное сообщение · #3 Да, трейс в лог файл у Олли не раз выручал... |
|
|
Создано: 11 ноября 2009 18:04 · Личное сообщение · #4 Как оказалось полноценная трассировка невозможна, это железо не позволяет выполнить. |
|
|
Создано: 13 ноября 2009 09:34 · Личное сообщение · #5 Clerk Что ты понимаешь под полноценной трассировкой? |
|
|
Создано: 13 ноября 2009 09:41 · Личное сообщение · #6 Auto Debug есть еще |
|
|
Создано: 13 ноября 2009 12:12 · Личное сообщение · #7 Clerk стало быть делайте свой проц. Ппц просто. |
|
|
Создано: 13 ноября 2009 18:38 · Личное сообщение · #8 progopis Это такая, при которой не возможен сброса TF и трассируемый код не может обнаружить трассировку(без учёта временных задержек). cppasm В смысле виртуальную машину.. это единственное нормальное решение 
|
|
|
Создано: 13 ноября 2009 18:47 · Личное сообщение · #9 Хорошо, ограничимся тулзой, средней паршивости. Оно понятно, что можно написать все что угодно, что обнаружит трассировку и чтото напортачит в отместку. Однако, очень много запакованного кода или написанных тулзов этого не делают! Да промежуток кода до места, где детектится трассировка тоже может быть интересен! Потому смотрим, пусть не идеальный, но хоть как-то работающий трэйсер. ;) ----- My love is very cool girl. |
|
|
Создано: 13 ноября 2009 20:52 · Личное сообщение · #10 Clerk Боюсь вас разочаровать. Это возможно. Если вы не умеете, это только ваши проблемы. И почему вы постоянно придерживаетесь концепции "есть два мнения: моё и неправильное" ? Нравится называть всех дураками и сидеть в бане? Какой в конечном итоге смысл? |
|
|
Создано: 13 ноября 2009 21:21 · Поправил: Модератор · Личное сообщение · #11 Пользуйтесь ЛС! ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 13 ноября 2009 23:16 · Личное сообщение · #12 По теме: - Олька однозначно ----- продавец резиновых утёнков |
|
|
Создано: 14 ноября 2009 02:30 · Личное сообщение · #13 theCollision пишет: Хорошо, ограничимся тулзой, средней паршивости под это определение ничего, кроме ольги, на паблике не видел |
|
|
Создано: 28 ноября 2009 21:49 · Поправил: AndreyMust19 · Личное сообщение · #14 Можно воспользоваться эмулятором процессора (и трассировка "настоящая", это Clerk'у +) например, Bochs. Но ввиду того, что Windows там не запустится, можно использовать плагин к IDA (x86 Emulator), правда сам им не пользовался. А по мне проще (но не лучше) использовать API-шпион с записью отслеживаемых функций в файл. Почти что трассировка и работать будет намного быстрее. Clerk >Это такая, при которой не возможен сброса TF Если где-то и есть отладчик, в к-м можно писать скрипты, то можно восстанавливать TF после каждой выполненной команды, но скорость будет отвратительная. А "отсутствие временных замеров" - тут только эмулятор выручит или заставить все временные функции возвращать "ненастоящее" время. |
|
|
Создано: 15 декабря 2009 01:10 · Поправил: Clerk · Личное сообщение · #15 AndreyMust19 > восстанавливать TF после каждой выполненной команды Для этого нужно ядро немного пропатчить. Вобщем верно, вот только вы забыли что ось немного кривовата, что вносит кучу вкусных и хитрых способов обхода трассировки. Да и железо тоже, например траблы с RF, который маскирует трассировочный сепшен. А эти ацкие траблы с переопределением сегментов.. |
|
|
Создано: 04 июня 2010 20:23 · Личное сообщение · #16 OllyDbg 1.10 (пытался двойку юзать - не в восторге) |
|
|
Создано: 04 июня 2010 20:37 · Личное сообщение · #17 doctor_flasher Хватит уже флудить и некропостить (ранг набивать). Этот пост удалять не буду, два других удалены как флуд. Ранг на форуме не важен на самом деле, нечего на него работать. |
|
|
Создано: 07 июня 2010 12:38 · Личное сообщение · #18 Писал на делфе сам для себя трассировщик на базе готовых модулей. мне им пользоваться удобней чем олькой. (из готового под делфи есть дебугер и есть модуль дизасма.. кривовато конечно но самому было влом писать) ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 07 июня 2010 12:47 · Личное сообщение · #19 VodoleY А почему не покажешь народу? Может чего стоящее в нём есть. |
|
|
Создано: 07 июня 2010 13:33 · Личное сообщение · #20 Самодельный трейсер через VEH, Олли отдыхает по скорости и стабильности. |
|
|
Создано: 07 июня 2010 14:03 · Личное сообщение · #21 V0ldemAr Трейсер через KiDispatchException/KiUserExceptionDispatcher и VEH отдыхает. Только вот под 64 сплайс пока не пашет :\ |
|
|
Создано: 07 июня 2010 17:15 · Личное сообщение · #22 Трейсеры на исключениях вообще отдыхают, на эмуляции делать надо, быстрее просто на порядок. И только уже то, что не можешь эмулить, надо трассить. |
|
|
Создано: 07 июня 2010 17:35 · Личное сообщение · #23 а аппаратную виртуализацию так можно использовать? |
|
|
Создано: 07 июня 2010 17:37 · Личное сообщение · #24 Можно, но она тоже тормозная очень. |
|
|
Создано: 09 июня 2010 19:24 · Личное сообщение · #25 Из предложений по теме - большинство за ольку. Но она юзермодная. А кто какие р0 трейсеры знает? а под 64? |
|
|
Создано: 09 июня 2010 20:04 · Личное сообщение · #26 >>Самодельный трейсер через VEH, >>KiDispatchException/KiUserExceptionDispatcher Из перечисленного кроме самодельных тулз имеются в наличии реализованные продукты? ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 09 июня 2010 21:52 · Поправил: yanus0 · Личное сообщение · #27 набрел на просторах: (by cr4zyserb - deroko of ARTeam) This tools uses split TLB to trace execution of certain application. Tool supports only 1 break, but it can be updated to support more code breaks, and more memory breakpoints on execution. This is planned for one day, but as it was never needed it was never implemented. Code is released under GPL 3.0 and is official ARTeam release! Dream Of Every Reverser is ring3 memory tracing project which is currently in stable phase so that's why it is released anyway. Features: - Stealth trace of memory access on given range - speed - PAE and normal addressing mode supported Limitations: - no win2k3 support - no MP support - systems running KAV not supported, that shit hooks needed code in ntoskrnl.exe so tracer won't work with it!! This code was introduced in "Anti-Anti Dump and Noninrusive Tracers" as code which will present ultimate r3 tracer where there will be no chance to detect presence of nonintrusive tracer, if any protection ever will check KiUserExceptionDispatcher for hooks. |
|
|
Создано: 10 июня 2010 14:08 · Поправил: VodoleY · Личное сообщение · #28 int все просто. это давно было. от части по незнанию ольки от части для самообразования решил сбацать. вощем моменты какие я пытался трейсить конверт хаспа там сам понимаеш половина мусора половина маразма и ловушек. так вот самая простая фигня. пошел трейс, лог. смотрим на чем остановились, потом в проге добавляеш Если Eip=xxx то обойти типа джамп тудато. Конечно нифига не оптимал. +делал возможность протокола вызова всех Сall вощем свое ближе к телу Зы. кстати.никто не подскажет можно ли в ольке сделать дамп лог ток вызываемых процедур типа Сall ххх Сall ххх Сall ххх Вощем малеха поковырялся... если комуто пригодиться... идея в порядке бреда, и очень тормознутая. Грипом с дизасма выдрал все Сall. почистил. дальше скрипт выглядить. bp addr1 bp addr2 .... bp addr10000 lab: run jmp lab после этого в лог окне имеем список вызовов..... кто придумает лучше готов выслушать ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
eXeL@B —› Основной форум —› кто каким трэйсером пользуется ? |
Для печати