Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

упс...ещё одна фишка нарисовалась,
при поиске в памяти рва указателей, могут один указатель на 2 адреса раскинуть, раньше такого не было, да
и ваще сам поиск был не погрешим.
в качестве примера 0x0808CA30.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: sefkrd

1. не хватает кнопки "удалить" ненужные исправления из списка исправлений - отвлекают и вызывают п.2
2. при перезагрузке (иногда?) подключаются отключенные исправления
м/б что-то не так делаю или есть какой-то плагин?

| Сообщение посчитали полезным:

Как-то можно заставить xdbg удалять при закрытии файлики из /db/ ? Настройки может какие или плагин?

| Сообщение посчитали полезным:

в батнике пропиши, и кликай.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

если прописать размер операнда, то ассемблирует, но в бридж этого нет, и он при дизасме выдаёт инструкцию уже без размера операнда.
в общем беда какая то с этими асмдвигами..
где нарыть свежий от мелких? в студии же хороший, но у меня пятнашка.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

....\Mr.eXoDia x64 dbg\x64\CLRProfiler\
хз откуда взялась утиля с сорцами, в снапе её нет, для чего и как юзать?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

в x64dbg есть функция или плагин для вызова эскортных функций в отлаживаемой dll, как в ollydbg call dll export или еще не завезли? сам что-то не нашел.

Добавлено спустя 11 минут
Bronco пишет: хз откуда взялась утиля с сорцами, в снапе её нет, для чего и как юзать

Если верить гуглу, то это собственно и есть профайлер https://msdn.microsoft.com/en-us/library/ff650691.aspx

| Сообщение посчитали полезным:

у кого-нибудь есть sources этой программы когда еще там был Capstone, а не Zydis (где-то сентябрь 2017)?
На github есть архивы уже собраных binary releases, а вот как найти старые sources я как-то не могу сообразить.
Или их там и нет?
Ну, в общем если у кого имеются и не лень, то пожалуста выложите!
Спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
когда еще там был Capstone
капстон пока присутствует
сорцы может на варьке есть, но за какой период хз. да и в них я чего то "фиксил"

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: plutos

plutos пишет:
у кого-нибудь есть sources этой программы когда еще там был Capstone, а не Zydis (где-то сентябрь 2017)?
Так на гитхабе и есть.
вот последний коммит, предшествующий добавлению Zydis.

| Сообщение посчитали полезным: plutos

Bronco пишет:
капстон пока присутствует
я про то, что folder capstone_wrapper is empty в сборке за середину октября.
Его конечно можно качнуть отдельно, но хотелось бы облегчить себе жизнь и получить все сразу в одном флаконе.
или я не там смотрю?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
я про то, что folder capstone_wrapper is empty в сборке за середину октября.
из текущих сорцов видно, что капстон обновляли "8 months ago"
октябрь дальше?...)))
-----
немного не по теме, но топ открывать не хочу.
Вопрос прямой. Как отличить реальный оператор флага, от фейкового?
пример фейка, или морф безусловного прыга

сука, но с реальным такая же фишка, данные затирают, сразу после перехода на метку.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Вопрос прямой. Как отличить реальный оператор флага, от фейкового?
Реальный всегда работает с "неизвестными/реальными" данными инструкций, а фейковый только с константами.
Трассируй все данные и тогда найдешь фейк или реальный - в твоем примере видно невооруженным взглядом что это фейк. Но таким способом не различить дубль ветки переходов (делают разным кодом одно и тоже) на реальных данных - они устраняются только после очистки кода и проверки на эквивалентность.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit, шибко много трассировать, по логу, более 3000 операторов, + до*бени "разрывов" зависимых от данных в памяти, как самый простой

оригинальные шорт, стали лонг, и в этой каше задетектить их сложновато.
пример фейка простой, есть и длиннее.
а вот это наверное по теме
что сделать с патч_ресторе, ебала какая то, работать не возможно, на ровном в нирвану уходит.
в пределах образа полный ппц, но у меня тредов дохрена, и выбора нет.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Протестировал из плагина (пока только в режиме х32) все три встроенных в х64dbg ассемблера: XEDParse, Keystone и Asmjit.
Первые два не позволяют делать принудительные длинные переходы, последний делает принудительный короткий или длинный переход добавлением слова short/long перед инструкцией перехода.
Но asmjit имеет необъяснимый глюк, он не ассемблирует push imm32 когда значение константы >= 0х80000000
Прямой доступ из плага имеется только к XEDParse, остальные 2 асма можно использовать только с косвенным доступом через сам дбж.
Решил использовать пока XEDParse с добавлением к нему фикса для генерации принудительных длинных переходов.

Осталось решить проблемку с ASLR, неужели при загрузке таржета в дбж тружно было сделать опцию отключения DynamicBase. Пока приходится извращаться, сбрасывать этот бит в исследуемом файле и после загрузки в дбж возвращать его обратно. Но думаю, что можно найти и автоматическое решение для этого.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
Осталось решить проблемку с ASLR, неужели при загрузке таржета в дбж тружно было сделать опцию отключения DynamicBase. Пока приходится извращаться, сбрасывать этот бит в исследуемом файле и после загрузки в дбж возвращать его обратно. Но думаю, что можно найти и автоматическое решение для этого.


Включить

Выключить


Можно оформить в батник и это будет один клик ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Vamit пишет: неужели при загрузке таржета в дбж тружно было сделать опцию отключения DynamicBase.

У мистера уже спрашивали это. Подобные траблы только саму решать и слать патчи мистеру, иначе можно годы ждать.

| Сообщение посчитали полезным:

Vamit пишет:
short/long
вчера смотрел сорцы, шорты киляют перед асмом любого двига. для лонг нет такого, но я и не встречал после асма подобного. в обход титана, вполне можно выйти напрямую к любому двигу, добавлением его в сдк. по дефолту только ксед.
пока добавил кейстоун, в х64 проблем стало меньше, кодирует всё чётко, беда пока с самим асемблированием, его тупо нет, и приходиться писать енкоде через врайт. с асмджит пока не разбирался.
над последними двумя двигами висит ксед_парсе.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
беда пока с самим асемблированием, его тупо нет, и приходиться писать енкоде через врайт
Не понял чего нет, есть 3 асма выбирай любой (но asmjit глючит), я ассембирую всю восстановленную функу в буфер с релокацией на её реальный адрес, на первом проходе все переходы длинные, на втором проходе оптимизирую длину переходов и затем копирую весь буфер в дбж на нужное место.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit
ок...согласен что можно выбрать любой асмдвиг. но только через обёртку апи титана, ну это же не на напрямую.
после вызова апи, мистер заполняет стурктуру ксед_парсе, и для работы с движками отдельный класс, к которому подвязан патчер_ресторе, и подсветка хекскода, эта часть, млять по ходу на кьюте.
перед выбором двига инлайнят инструкцию в нижний регистр, и киляют short, если он есть.
кейстоуну нужно два аргумента, их берут из структуры кседа, и три он возвращает,
асмджит зачем то подгружают к процессу, и передают всю структуру ксед_парсе.
после асма, ретурном булка, и в листинге наблюдаем обновление с подсветкой.
Где в режиме х64, для инструкций с указателями, зависимых от rip, кодируют указатель обратно, как то на глаза не попалось, но кейстоуну, однозначно, раскодированный указатель не нужен, иначе выхлоп полный треш.
напрямую с кейстоуном, у меня пока нет обновления листинга, и после апи кейстоуна, юзаю апи титана мемврайт, тогда есть, но нет подсветки и регистрации исправлений в патчер_ресторе.
Vamit пишет:
на первом проходе все переходы длинные
у меня нет декомпиляции, есть просто овер дохрена стыренных тел с "мёртвым кодом" в которых длина прыгов разная, иногда хватает одного прохода, иногда два, но описанных тобою проблем нет, и есть тела, куски которых,между служебным кодом коллизии лицезировния, тут автоматика пока обкатывается. ибо дофига шлака,обфускации и морфа.
кста, при переходе на х64, настраивайся на парсер таблицы сех, тут дерьматолог тоже нагадил.
--------
собственно о двигах, в х64 нет такого, который перекрывает всё, у каждого свои "слабости", надо их просто выявить, и переключаться между движками, если булка не та.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

not sure because Google translate is bad, but keystone will be removed very soon. If you see bugs with asmjit, please report at https://github.com/asmjit/asmtk/issues

| Сообщение посчитали полезным:

в общем толчком для более внимательного разбора возможностей предложенных асм двигов в режиме х64, послужило отсутствие внимания к простой --> исузе <--.
плюс фризы при энейблед гуя, и грёбанный патчер, которого нельзя отключить, и который вешает весь выхлоп, и в итоге тупо валит процесс после лимита всего в 10к риптнутых байтов.
Ксед, мягко сказать очень староват для текущих задач, не кодирует "imul", не кодирует инструкции с IMM, где есть знак и константа в 16 ричном формате (косяк капстона при дизе), увеличивает размер некоторых инстр с IMM.
Кейстоун, самый простой, удобный, и посвежее кседа, но недостаточно свеж по набору возможностей, не равнодушен к инструкциям с указателями, где один из операндов reg == RAX.в итоге увеличивает в размере.
АсмДжит, немного сложнее, однако самый свежий, но не равнодушен к инструкциям с указателями, где один из операндов reg == RCX. многое увеличивает в размере. но может и оптимайзить, что для цикличного кода то же не гуд. Не кодирует лоченные инструкции. И все выравнивания кода тела нопами больше одного байта, асемблит как однобайтовый NOP.
Титан, без его апи до фейса гуя никак, но реально тормозит по времени автоматику.
в итоге вышел напрямую к асмдвигам, минимизировал апи титана, солидно выиграл по скорости и качеству, а главное нет фризов и падений. сам парсер скидывать не буду, но для работы с движками пока юзаю этот код:


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mak, v00doo, DICI BF

наверное это всё таки косячок, при выделении кода в листинге, к select.end приходиться прибавлять 1 байт

----
капстон и кейстоун убрали, сдк похудел. двигов в асм_энджине, всё так же три(?).// (1||2) == 2
----
кста, как асемблить двухбайтовый NOP(0x6690)?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Здраствуйте! Вопрос по теме x64dbg. Есть скрипт прохода на oep acprotect от нарвахи)) Там есть команда eob. Как можно интерпретировать эту команду в x64dbg?

| Сообщение посчитали полезным:

RoKZaR пишет:
Как можно интерпретировать эту команду в x64dbg?
Для начала - посмотреть, что она делает в оригинальном скрипте.

| Сообщение посчитали полезным:

Посмотрел. Относится к разряду бряковх, но описание команды отсутствует. Нашел в доках на дебаггер вот такие строки. То или нет? Если нет то какая команда тогда?
А за доки на ollyscript спасибо найти долго не мог.

aefe_16.03.2018_EXELAB.rU.tgz - Screenshot_2018-03-16-09-32-08-568_com.google.android.apps.docs.png

| Сообщение посчитали полезным:

Назрело несколько вопросов:
1. Находясь на OEP запакованной проги при пролистывании колесом мыши ломает листинг. Почему и возможно ли исправить?
2. По курсу нарвахи при попытке нахождения Stolen Byte просто напросто не останавливается там где надо и там где написано по курсу. Приаттачил картинки чтобы было понятно что к чему.
3. Проблема со скриптами. При обьявлении переменной var ... первый раз она обьявляется и работает а во второй выдает, что не может обьявить переменную. Причем vardel не работает.
Вроде пока все. Просто новичек в этом, но хочется осваивать сразу не ольку а что то более продвинутое. Пусть и недопиленое. Буду премного благодарен за помощь!

0b6f_20.03.2018_EXELAB.rU.tgz - screenshot.zip

| Сообщение посчитали полезным:

RoKZaR пишет:
но хочется осваивать сразу не ольку а что то более продвинутое

>>offtop
А что собственно не так с "олькой"?
Использую OllyDbg 16 лет и не могу нарадоваться.
Великолепный инструмент, на нем выросли поколения reverse engineers.
У него есть свои ограничения, но у кого их нет?
>>offtop

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
>>offtop
С олькой все так но рано или поздно придется переходить на платформу x64 и соответственно к совершенно другому инструменту. Поэтому решил привыкать сразу со сложного))) Причем начинал я сам с ольки.

| Сообщение посчитали полезным:

plutos пишет:
Использую OllyDbg 16 лет и не могу нарадоваться.
Мда, на Вин10 не пашет, х64 не знает - ДОС то же была когда-то великолепной операционкой...

-----
Everything is relative...

| Сообщение посчитали полезным: