NX tracer is the most advanced tracing tool for automated unpacking, as it uses mechanism provided by IA32 PAE adressing mode. To gain full control over tracing NX Tracer, loads it's own driver, and performs hooking of needed not exported functions in ntoskrnl.exe. To be able to perfrom this task NX Tracer will use Microsoft Symbol Server to extrac offsets of a needed procedures, thus you must be connected to the internet for the first time you run this program, also it requires that symsrv.dll and dbghelp.dll are located in the same folder from where you run NX Tracer.


To use NX Tracer you will need to run console (cmd.exe), and execute it like this:

nxtracer.exe packed program
nxtracer.exe -s packed_program


-s switch is used to tell KryptosLogic NX tracer that you want your program to be suspended so you can attach your debugger. SoftICE or OllyDebugger, or any other ring3 debugger which you are using.

Compatible with Windows 2K, XP and Vista, and also compatible with ring0 debuggers such as SoftICE.


www.kryptoslogic.com/download/nxtracer9b.zip
--> Site <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

помоему у дероко что-то похожее было?

| Сообщение посчитали полезным:

или трактор заглох или... руки у мя кривые.....

C:\1111111111111111\OEPNX>ring3.exe -s inst.exe
KryptosLogic NX tracer (c) 2008 KryptosLogic
[X] Failed to locate symbols for ntoskrnl.exe
[X] Aborting...

C:\1111111111111111\OEPNX>

у пиплов работает?

WinXP engprof SP2

| Сообщение посчитали полезным:

sendersu пишет:
у пиплов работает?

WinXP engprof SP2

Вроде как да...
Win 7...



| Сообщение посчитали полезным:

помнитсо мне для поиска символов надо переменную среды правильно установить (SYMBOL_PATH ?),
можно узнать есть ли она у вас?
c инетом у меня в порядке, хочу понять на чем падает тулза

| Сообщение посчитали полезным:

sendersu, м.б. в биосе отключен nx-bit flag?

| Сообщение посчитали полезным:

Забавные ребята, походу, сгондонили дероковскую поделку практически, даже функции те же похучили и тоже через символы. Хотя идейка у них похуже. Работать будет быстрее, но им придётся функций больше хучить. Да и процессоре не на любом покатит. Судя по хуканым функциям, отдетектить можно с ринг3. В общем, где-то что-то прочитали, а нормально сделать ума не хватило.

| Сообщение посчитали полезным:

Archer пишет:
сгондонили дероковскую поделку
Порадовал. KryptosLogic - это "новый" проект Дероко.

| Сообщение посчитали полезным:

DarkWolf пишет:
Archer пишет:
сгондонили дероковскую поделку
Порадовал. KryptosLogic - это "новый" проект Дероко.

Вот дожили, нет новых идей у Дероко, гандонит сам у себя....

| Сообщение посчитали полезным:

а начиная с каких процов доступен NX-bit?
P.S. а переменная наз. _NT_SYMBOL_PATH

| Сообщение посчитали полезным:

В принципе допускаю, что его, тогда мой косяк, хотя на сайте упоминаний про это не нашёл, но не особо и искал. Погляди на сайте интела, какие процы держат. Вообще дероко толковый чел, идеи хорошие, но реализация обычно абзац. Хотя специально POC пишет, может.

| Сообщение посчитали полезным:

мда, облом обломыч, только 64bit CPU его имеют (и начитая с WinXP SP2 он суппортед)
а у мну - Sempron чег Ж)))

| Сообщение посчитали полезным:

sendersu пишет:
мда, облом обломыч, только 64bit CPU его имеют (и начитая с WinXP SP2 он суппортед)а у мну - Sempron чег Ж)))
у мну Sempron 3000(WinXP SP2), все отлично работает

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV
круто, похоже Sempron чеги тож разноцветные бывают.....http://en.wikipedia.org/wiki/Sempron
у мну (как показал Everest) - Thoroughbred на SocketA, а там нету NX bita (да и в том же Evereste есть матрица всех CPU фичей

единственное что раздражает - почему прога не определила что NX bita ну нету, а пишет о
Failed to locate symbols.........

| Сообщение посчитали полезным: