Не совсем прозрачно, как работает Syser с PDB файлами. PDB символы у меня установлены стандартным образом в Windows\Symbols. Возможно ли использовать их без всякого 'Symbol Downloader'?

Пробовал команду:

sdscmd -a kernel32.dll

Создался файл kernel32.sds в syser\symbols\dll.

Пробовал ту же команду, убрав kernel32.pdb из стандартного места (руки до filemon-а не дошли). Создался точно такой же .sds файл. Всё как-то тихо-мирно и непонятно чего происходит...

| Сообщение посчитали полезным:

У них есть свой форум (http://www.sysersoft.com/help.html). Там вам быстрее ответят на ваш вопрос.
Имеется также FAQ.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Проверил filemon-ом, он его (kernel32.pdb) всё таки находит, но читает всего несколько килобайт (сам файл больше мега). В результате полученный .sds всё таки увеличивает количество символов (938 без .sds vs 1328 с .sds). Но это не зависит от .pdb. (т.е. операцию sdscmd -a kernel32.dll есть смысл делать даже без установленной debug info).

А символов в том .pdb много, но они пожёванные (__imp__RtlLookupAtomInAtomTable@12 и т.п.). Помнится, в давние времена, SoftICE из кушал и показывал. Жаль, что Syser их не признаёт. Ну да не суть важно, не kernel "отлаживать" собираемся...

P.S. хорошо бы checked build раздобыть с непожёванными символами...

| Сообщение посчитали полезным:

Поведение sdscmd с user32.dll отличается от kernel32.dll. Если для kernel32.dll pdb он кушать отказался, то для user32.dll схавал за милую душу. Это наводит на мысль, что версия kernel32.pdb не соответствует dll, несмотря на то, что symchk заверяет в обратном.

| Сообщение посчитали полезным:

sigil
уважаемый. есть кнопка редактирования своей старой мессаги, пользуйтесь

насчет
пожёванные

скорее декорированные (mangled) и ето нормально
без декорации получите порукам, почему - ищите ответ сами

| Сообщение посчитали полезным: Abraham

Спасибо за внимательность! Я неправильно указал пример символа, но было лень исправлять. Это был конечно не пожёванный символ, вот пожёванный:

??_C@_19IJOJOJIB@?$AAP?$AAA?$AAT?$AAH?$AA?$AA@


Глюкало syser не выдаёт ни один символ от dinput.dll, хотя исправно схавал и pdb, и экспорты. Количество сиволов для этого модуля пишет исправно, но по нужным адресам ничего нет. Команда sym DirectInput* ничего не выдаёт...

P.S. Насчёт старой мессаги увидел кнопку "Стереть", но там был жестокий опрокид. А вот в слове"Правка" я нужного смысла (то бишь "Редактировать") не разглядел. Да и не особо приглядывался в 8-то утра...

| Сообщение посчитали полезным:

Не знаю, чего я сделал, но после часа всевозможных рестартов с вариациями экспорты от dinput появились...

| Сообщение посчитали полезным:

sigil
Не знаю, чего я сделал...

Ну а мы и подавно не знаем.
О чем вообще ваша тема? Больше похоже на путевые заметки.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Так и есть наверное. Это уже не вопрос, а скорее журнал. Может кому-то пригодится. Сам был бы рад, если бы наткнулся на что-то подобное. То, что нигде не документируется и приходится доходить методом "научного тыка".

| Сообщение посчитали полезным:

sigil пишет:
после часа всевозможных рестартов с вариациями экспорты от dinput появились...
и как должен пионер следовать вашим шагам ?

хороший инженер должен разбираться в емпирике и в последовательностях маркова ) (шутка)

| Сообщение посчитали полезным:

sigil:
Может кому-то пригодится.

Это врядли. Чтобы быть полезным ваш журнал должен содержать что-то конкретное: пошаговое описание ваших действий, результаты экспериментов, выводы, заключения и т.д.
А тут что?

"Не знаю, чего я сделал, но после часа всевозможных рестартов с вариациями экспорты от dinput появились... "

Ерунда какая-то. Тогда уж лучше в off-top перенести и там делиться впечатлениями.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Уважаемый plutos, если хотите обсудить со мной полезность моих постов -- добро пожаловать в личку! Уж Ваши-то комментарии точно никому не интересны и совершенный off-top здесь! Если Вы модератор, Вы имеете право решать -- каким где темам быть, а каким темам не жить. Если же нет, как говорится, arevior и всего самого доброго!


Кто-нибудь знает, есть ли в Syser возможность на время отобразить содержимое экрана по hotkey? Помнится в SoftICE была такая фича...

| Сообщение посчитали полезным:

запусти хелп и почитай
для таких как ты его писали

| Сообщение посчитали полезным:

Спасибо, за ещё один бесоплезный пост. Syser не та программа, где всё досконально задокументировано. А по тому, что задокументировано или доступно средствами интерфейса вопросов здесь ты не увидишь.

| Сообщение посчитали полезным:

DebuggerHelp.chm
SyserCommand.chm
задокументированы все комманды
может вам все таки для начала читать?

| Сообщение посчитали полезным: plutos

Хорошо, есть такая кнопка F4.

Как появилось время детально изучить help, нашёл.

От модератора: пост поправил, часть постов удалил. начинать с чтения хелпа надо, а потом уже сюда идти и спрашивать. в следующий раз за срачики будет бан

| Сообщение посчитали полезным:

sdscmd -a на .dll создаёт .dll.sds файл в той же директории. Подсосал ли он .pdb можно узнать заглянув в него в самый конец, там должно быть 3 поля:

имя_модуля полный_путь_до_pdb имя_dll_файла

Но с kernel32.dll совсем другая история...

Кстати, sdscmd -a на .pdb создаёт фактически аналогичный файл, только вместо имя_dll_файла там будет имя_pdb_файла.

| Сообщение посчитали полезным:

Размер у ddraw.dll.sds и dinput.dll.sds одинаковый (61440), это слегка напрягает. Да и у kernel32.sds такой же. А вот у user32.sds размер побольше. Ну да ладно, главное -- работает.

| Сообщение посчитали полезным:

Если можно, переименуйте пожалуйста эту тему в "Мой журнал: Syser, IDA, DirectX и прочее". Я буду выкладывать сюда некоторые вопросы, с которыми сталкиваюсь. Потом самому возможно придётся читать лет через 10. Кто его знает, может ещё чего доведётся реверсить. Жизнь такая штука, всё возвращается на круги своя.

Хороший туториал по DirectDraw.
Аналогичный туториал по DirectInput (сорри за PDF, в HTML не искал)

| Сообщение посчитали полезным:

Топик переименовал и заодно перенёс в блоги.
Пользуйся кнопкой "Правка", не создавай сообщения подряд.

| Сообщение посчитали полезным:

Спасибо тебе, Главный. Твои пожелания будут учтены.

Хорошая статья по PE формату.

| Сообщение посчитали полезным:

Вижу на форуме такие вопросы: правильно ли использовать декомпиляторы, но чаще -- "не могу понять точно за что отвечает переменная (или константа) X".

Для меня IDA -- это способ охватить картину в масштабе. Но точки входа в интересуемый функционал отыскиваются в отладчике. А также, если не можешь понять за что отвечает переменная (или константа) X, просто поменяй её и посмотри что получится -- это может значительно сократить время. Если конечо уже есть догадки и знаешь на что примерно нужно обращать внимание.

Но в чистом отладчике картина совсем другая. Там видишь одну деталь, можешь её пощупать. А пытаться выйти за рамки детали и обозреть общий смысл в отладчике -- это конечно самоубийство. Тогда и приходит на помощь IDA -- даёшь каждой детали, которую изучил в отладчике, осмысленное имя, и всё постепенно становится яснее и яснее. Это похоже на магию: 2 дня назад какая-то процедура была тёмным лесом, но когда поименовал каждую переменную, вызов и условный переход -- всё стало совсем по-другому!

Но конечно, всё подряд копать и *каждую* деталь именовать смысла может быть мало, если есть определённая цель. В этом и заключается искусство крека -- искать только то, что нужно для достижения цели и не забуряться в сторонние раскопки. Для этого нужно эффективно работать со стеком вызовов. Это значит, находить именно тот уровень, который нужен, а не ковыряться на нижних его уровнях.

Для этой цели нахождения нужного фрейма стека, как раз отладчик просто необходим (и кнопочка F6 в Syser). Это как раз то, что нужно сделать в первую очередь. Встать на брэкпойнты интересуемых феноменов программы, будь то изменения пользовательского интерфейса, работа с аппаратурой или считывание данных из файла. И затем проехать по стеку на кнопке F6 снизу доверху до тех пор, пока мы не упрёмся в главный или второстепенный цикл программы. Этот фрейм с циклом будет важным узлом в паутине наших раскопок. Потом другой феномен -- другой узелок, третий феномен -- третий узелок, затем в Иде находим связи между этими узлами -- вот уже вырисовывается сеточка.

При изучении стека вызовов не забываем составлять его карту, а затем анализировать такие карты у различных феноменов на предмет совпадения на нижних уровнях. Момент схождения карт -- это ещё один узелок. Там где стеки пошли одинаковые будет уже вспомогательная, утилитарная логика, а нам ведь нужна бизнес-логика, значит эти нижние фреймы нам уже не столь интересны.

| Сообщение посчитали полезным:

> правильно ли использовать декомпиляторы

Деконпили есть только в сферическом вакууме. Ежели бы существовал полноценный деконпиль, то небыло бы этих ваших виндоусов(и прочих говноосей)..

| Сообщение посчитали полезным:

Питонисты наплодили PE-библиотек. Ну пипец!!! Делать что ли нечего?! Броузер ещё напишите на питоне! Кто, только, потом всё это питонистическое добро будет использовать и для каких целей, интересно мне знать...

Нашёл 2 либы на C++ (слава богу, затесались в первых результатах поиска между питонистическим гувном).

PE Bliss
PeLib

Кто-нибудь имел опыт сравнения оных? Может есть ещё какие?

| Сообщение посчитали полезным:

апну может кто будет искать.

начинал прожект с PeLib, в последствии перешел на pe_bliss
Второй в использовании намного удобнее - свои иксепшены, нормальные обьекты и прочее. Приятно юзать.
Хотя если кому нравится пейсать конструкции вида
то сгодится и PELib.

Резолюшен - рекомендую PE Bliss

| Сообщение посчитали полезным:

я до сих пор юзаю PeLib. И норм. Толь привык, то ли... Но не пробовал pe_bliss. Сказать ничего не могу.

| Сообщение посчитали полезным: