Наверное все вы хотели бы иметь отладчик максимально приспособленый для борьбы с антиотладкой, а также умеющий отлаживать драйвера (включая ring0 защиты), и имеющий при этом удобный GUI интерфейс. К сожалению, сейчас достойных отладчиков практически нет. Из юзермодных конечно рулит оля, но по части скрытности с ней все очень плохо, баги не фиксятся, проект мертв (2я версия если и выйдет, то очень нескоро). В рядах ядерных отладчиков все еще хуже. Soft-Ice умер. windbg - гавно (хотя кому-то и нравиться, не буду спорить), Syser имеет красивый интерфейс, но весьма слаб в остальном. Ну и про отладку ring0 защит существующими отладчиками, даже говорить нечего.
В связи с этим у меня давно назревает идея написания универсального и мощьного отладчика, для отладки как юзермода, так и ядра. При этом хочеться получить развивающийся и поддерживаемый проект.

Сам я не имею достаточно времени для реализации этой идеи в полном обьеме, но имею все необходимые технологии для построения полностью недетектируемого отладчика (причем большинство их уже обкатано). Поэтому я предлагаю энтузиастам начать такой проект. Я со своей стороны предоставляю отладочное ядро, которое реализует весь необходимый набор функций, а вы пишете собственно сам отладчик.

Есть три варианта развития проекта:
1 - Фриварная программа.
Вариант этот хорош для пользователей, но я сомневаюсь, что разработка в этом случае зайдет дальше 1й версии. Такой проект неизбежно обязан быть заброшен, потому что авторам быстро это дело надоест. Сделать из проекта платную программу в этом случае будет тоже нельзя (особенно при большом количестве авторов), так как врядли все на это согласяться.
2 - Мы собираем команду, делаем программу, после чего я обеспечиваю ее раскрутку и продвижение. С доходов каждый получает свой процент.
Этот вариант плох тем, что у авторов может не хватит терпения дождаться хороших доходов, и проект может быть заброшен.
3 - Я собираю команду и финансирую написание отладчика. После чего я имею полные права на код, и продаю его по своему усмотрению.
Этот вариант плох тем, что трудно найти людей которые будут на таких условиях хорошо писать код. Скорее всего все захотят просто срубить бабла, напишут глючную первую версию, и исчезнут после получения оплаты, а я останусь с неподдерживаемым и кривым кодом, что тоже сулит проекту недолгую жизнь.

Сам я склоняюсь к 2му варианту, но хотел бы узнать ваше мнение, а также найти желающих заняться этим делом.

З.Ы. отладочное ядро для юзермодного кода я уже написал, так что приступать к написанию отладчика желающие могут хоть завтра.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Bitfry
да что там за скриншот то.. не видно ниче.. ведь
ток видны кнопочки запуска.. как регистры
будут изображаться.. где это все..
да еще сделайте.. блог для этого проекта
имхо будет полезнее чем на форуме флудить ..

-----
Researcher

| Сообщение посчитали полезным:

overwriter
прочитай внимательно пост Bitfry и поймёшь, что он говорил про полезную высоту. на его скрине лишь подтверждение фразы
Из 485 точек на скриншоте по вертикали получается 140 точек, а это чуть меньше 30%

но, исходя из слов NaumLeNet, все лишние заголовки мона будет скрыть.

-----
EnJoy!

| Сообщение посчитали полезным:

Поддержка 64бит планируется?

PS. cорри уже нашел ответ

| Сообщение посчитали полезным:

Кста, по поводу отладчика - как насчёт удолённой отладки? В принципе, идея агента (a la gdb, softice) и отдельной GUI с TCP соединением - есть good. ms-rem, если хочешь то я могу помочь с сетевой подсистемой. У меня есть production quality код на С++.

| Сообщение посчитали полезным:

bbuc пишет:
Поддержка 64бит планируется?
Да, но не с первой версии.

s0larian пишет:
как насчёт удолённой отладки?
Удаленная отладка планируется изначально.

s0larian пишет:
если хочешь то я могу помочь с сетевой подсистемой
Ну помоги, если есть чем. Сетевая подсистема должна работать абсолютно независимо от ОС (только напрямую с железом), причем универсально для всех типов сетевух, причем работать она должна даже не на уровне ядра, а в режме гипервизора. Очень сомневаюсь, что по этой части мне кто-то поможет.

З.Ы. я раньше писал код, очень близкий по свойствам к требуемому, так что с этой частью я думаю справлюсь.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Ну помоги, если есть чем. Сетевая подсистема должна работать абсолютно независимо от ОС (только напрямую с железом), причем универсально для всех типов сетевух, причем работать она должна даже не на уровне ядра, а в режме гипервизора. Очень сомневаюсь, что по этой части мне кто-то поможет.
Стой, я имел ввиду обычный winsock/TCP сервер - как в gdb - запускаешь "agent theapp.exe", отладчик слушает на порту Х, и потом запускаешь весь UI "debugger localhost X" (ессно что можно и с другой машины).

То есть, если использовать конкретные термины:
user mode отладка может быть и удалённой, если такие вещи как ReadRAM(), WriteRAM(), GetRegisters(), SetRegisters(), Step(), Run(), Break() etc вынесены в отдельный интерфейс и есть два модуля - локальный и сетевой реализующие этот интерфейс.

Зачем тебе железо? Или ты думаешь про отладку kernel mode кода?

| Сообщение посчитали полезным:

s0larian пишет:
я имел ввиду обычный winsock/TCP сервер
Ну, такое написать, дело нехитрое.

s0larian пишет:
Или ты думаешь про отладку kernel mode кода?
Естественно. Причем думаю над отладкой в режиме виртуализации.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

bUg пишет:
Было бы еще замечательно дебаг прог для кпк(Palm, Windows Mobile, etc) Но это уже из области фантастики
Почему это? Я как раз этим и занимаюсь, так что усе будет

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Умею кодить хорошо в delphi (72006) и не очень во всей BDS2006

Очень охота дебаггер под симбиан. А то не удобно ломать проги без возможности трейсинга.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Естественно. Причем думаю над отладкой в режиме виртуализации.
Хе хе, я об этом тоже подумал когда intel опубликовала новые инструкции для след. версий чипов. Visor или hyper-visor это называется. VmWare сразу заработает лучше, как только выйдет железо. Только енто, AFAIK, просто так ты процесс не запустишь - там можно заставить грузиться операционку. Ну а потом запускай под ней драйвер и останавливай процессор на любой инструкции - ведь реристры управления просто не видимы для гостя, и rdtsc не изменяется при остановке....

| Сообщение посчитали полезным:

s0larian
Может еще прочитаешь мне лекцию, как дрова писать? А то я сам не знаю, просвети ламера.

s0larian пишет:
rdtsc не изменяется при остановке
Не забудь еще эмулировать MSR_EFER (12 бит указывает на guest режим).
И кстати, это далеко не все, есть еще способы детекта таких виртуальных машин.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

kropalik пишет:
хотелось бы видеть следующие возможности :
+анти-антиотладку встроенную

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Не помню, кто-то говорил или нет. Плуги от ольки будут подрубаться? И скрипты?

| Сообщение посчитали полезным:

Ни для кого не секрет, что я занимаюсь разработкой руткитов, и имею некоторый опыт в этой теме. Этот опыт весьма помогает в написании отладчика, так как в него входит привычка сразу видеть возможный ответный ход противной стороны (создателей защиты), и минимизировать возможности обнаружения.

Насчет руткита встроеного в отладчике каждый может думать как хочет. Вы можете либо верить мне на слово, либо не верить (и соответственно не юзать мой софт), либо можете проверить мои слова (если обладаете необходимыми знаниями).
Я заявляю, что мой софт никогда не содержал, не сожержит, и не будет содержать никаких вредоносных функций, и это дело чести для меня. Если я выкладываю троян, или другую вредоносную программу, то об этом будет обязательно написано в ее описании. Можете мне верить, а можете нет.

З.Ы. я сейчас по делам нахожусь в Москве, поэтому временно не контролирую состояние проекта. Как вернусь домой, постараюсь быстрее выложить демку (тем более, для нее все уже есть).

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

давай выкладывай.. заждались все..
писал что в 4 дня она уже будет..

-----
Researcher

| Сообщение посчитали полезным:

всем предупреждение, хватит флудить о руткитах и мсреме! топик - про отладчик..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Прошу модераторов внимательно просмотреть всю тему, потереть все посты не относящиеся к делу, и закрыть тему до выхода демки, так как пока больше говорить не о чем.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Уважаемые форумчане, извините за задержку. Хочу описать состояние проекта на данный момент.
И так, мы сейчас имеем готовое отладочное ядро. Оно прошло тестирование, большая часть багов уже исправлена, и готово не то что для демки, но и для первого релиза.
_miracle_ продолжает писать более высокоуровневую обертку - trcer api. Эта часть реализует трассировку, хранение информации о состоянии отладки, и установки различных бряков. По краяней мере для демки, эта часть готова.
GUI в последний раз, когда я его видел, тоже находился в готовом к демке состоянии. Но тут у нас возникли проблемы, бесследно пропали Stealth и NaumLeNet. Первый писал анализатор кода, второй писал GUI. Без GUI мы фактически ничего сделать не можем.
И так, придется подождать появления участников проекта, после чего я надеюсь услышать, собираются ли они заниматься этим дальше, либо будем искать кого-то другого.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

И так, многим наверно кажется, что проект заглох, так и не начавшись. Нет, проект идет, хоть и не такими темпами как предполагалось. Всем кто кричал что нифига у нас не получиться я скажу - не дождетесь!

Внимание
В связи с тем, что двое из нашей команды судя по всему забили на проект, требуются новые участники для замены.
Slealth, который писал анализатор выбывает из команды, так как не представил ни одной рабочей версии своего творения, и его невозможно застать в icq.
RUNaum - автор GUI пока остается, так как с ним еще не все ясно. Мне кажется что он забил, но он вроде бы обещал вернуться после нового года. В ближайшие дни мы все с ним решим.
Просьба всем желающим написать анализатор кода зайти на irc канал проекта или написать мне в ПМ. Анализатор кода должен выполнять следующее:
1) Дизассемблировать код
2) Проводить выделение циклов, switch конструкций, подсветку имен и параметров api.
3) Создавать набор структур, которые будут отображаться GUI.
Подробнее вы узнаете на канале проекта. Просьба полным новичкам не обращаться, чтобы не тратить свое и наше время.
Внимание всем недоброжелателям: Просьба не срать в топике. На ваши сообщения я отвечать не буду, они будут просто сразу удаляться, а их авторы получать бан.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
1) Дизассемблировать код
Что такое CADT?
Это универсальный дизассемблерный движок предназначенный для анализа кода.
Допустим вам нужно декодировать полиморф, или отмутировать код, и тут вам понадобиться дизассемблер. К сожалению, большинство существующих дизассемблеров расчитано на вывод дизассемблированного текста, и не выдает данных необходимых для анализа кода.
К тому же, большинство дизассемблеров имеют досадные ошибки, из за чего можно создать код который будет дизассемблироваться ими неправильно, что с успехом используют авторы протекторов. Более того, широко распостраненных дизассемблеров без таких ошибок я не видел, их полно и в IDA и в OllyDbg и в SoftIce. Дизассемблер Hiew - это вообще одна большая ошибка
К тому же, при взломе современных защит (Themida, StarForce) часто возникает необходимость в дизассемблере способном работать в нулевом кольце, и при этом он не должен использовать функции системы (они часто блокируются защитой).
Именно эти причины побудули меня написать свой диассемблер, в котором я постарался учесть все вышеприведенные требования и по возможности избежать ошибок в декодировании нестандартных опкодов. (ц)
Вопрос чем не устраивает?

Ms-Rem пишет:
подсветку имен и параметров api.
Подсветку должен брать на себя тот, кто делает GUI, ибо отображать в цвете это прямая обязанность разработчика GUI!

Ms-Rem пишет:
автор GUI пока остается, так как с ним еще не все ясно.
Результат работы разработчика GUI непосредственно зависит от качества данных предоставляемых анализатором кода.
Нет разработчика анализатором кода, тогда и нет результатов от GUI, отсюда, скорее всего и появился маленькое недоразумение в проекте.

Ms-Rem пишет:
Создавать набор структур, которые будут отображаться GUI.
Каких структур?
Если имеется в виду структуры данных регистров, процессов и т. д. то это должен делать твой движок и передавать их на обработку GUI – ИМХО!

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666
Архитектура уже разработана.
Дизасм это только часть. Обязаности анализатора - управлять отображением и комментировать код.

Demon666 пишет:
Подсветку должен брать на себя тот, кто делает GUI, ибо отображать в цвете это прямая обязанность разработчика GUI!
Гуи только отображает то, что дал анализатор. Гуи не дизассемблирует код и не ищет в нем вызовы апи.

В общем, нужный человек уже вышел на канал. Сейчас с ним все обговорим, и закроем тему снова.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
управлять отображением и комментировать код.
Все понял! - вопросов больше не имею
Ms-Rem пишет:
Гуи не дизассемблирует код и не ищет в нем вызовы апи.
Просто слово “подсветку” трактовал, как отобразить в разном цвете

P. S.
Просьба сообщать имена новых участников проекта, история все-таки ;)

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Ms-Rem
Хотелось, чтобы была возможность выбора цвета как у Оли
Меню->Options->Appearance->Colours/Code highlighting
Там ограниченный выбор цветов, а хотелось, чтобы была возможность вызова диалога(ChooseColor) для выбора любого цвета!
Конечно, можно будет, как у Оли пофиксить этот недостаток, но геморрой приличный получается.

Пакет PDK&SDK для плагинов уже готов?

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Не помешает поиск по части команды, т.е. DWORD ptr [5437b2], а то в olly только команда целиком, а искать через binary string обламывает.

| Сообщение посчитали полезным:

Извиняюсь если повторяюсь, но наиболее приоритетное, 2 лога, чтоб удобнее распаковывать было. Ибо частенько приходиться всё заново распаковывать только из-за нескольких команд.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

какой отладчик? в принципе , их улучшить уже помоему невозможно, а чем вас имеющиеся инструменты не устраивают они же идеальные! хотя хто знает? ...

| Сообщение посчитали полезным:

хм, кто-нибудь знает есть ли у проекта сайт и где хотя бы альфу или бетку скачать можно? Очень уж хочется на сие чудо посмотреть.

| Сообщение посчитали полезным:

Не было ещё даже демо, но Ms-Rem обещял в обозримом будущем...

| Сообщение посчитали полезным:

Судя по всем проект на неопределенное время "замёрз".

| Сообщение посчитали полезным:

rC пишет:
Судя по всем проект на неопределенное время "замёрз"
Нет, просто он продвигается куда меньшими темпами чем хотелось бы.
Ситуация с разработчиком GUI пока не ясна. Анализатор кода скорее всего придется писать нам с мираклом. Ну а демо могло быть уже давно, если бы двое из четверых резко не исчезли.

З.Ы. по избежании флуда, тему прошу закрыть. Откроем снова по необходимости.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным: