Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

AFAIK:
Ctrl+Shift on a specific line, then up or down arrow, holding the keys. Then Copy, or whatever is needed.
Takes time depending on a number of the lines.
Not the best most optimal solution, but kind of works.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Vamit пишет:
Кроме как Shift+Up/Down ничего не нашел, Shift+PageUp/PageDown не работают. Функции выделения кода, например Select(beginAddr, endAddr), также отсутствуют.
--> Link <--

-----
2 оттенка серого

| Сообщение посчитали полезным: Vamit

Not the best most optimal solution, but kind of works.
Вот именно, чтобы таким образом выделить 200кБ кода надо почти час кнопки держать нажатыми.
f13nd
Из скрипта или плагина я знаю как это сделать, спрашивал вообще-то про ГУИ редактора.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
Вот именно, чтобы таким образом выделить 200кБ кода надо почти час кнопки держать нажатыми.
Есть также вариант в уме прибавить к темущему адресу 0x32000, промотать тычками мыши в вертикаьлную колбасу справа (под ползуном) и на шифт+лкм выделить.

Vamit пишет:
Из скрипта или плагина я знаю как это сделать, спрашивал вообще-то про ГУИ редактора.
Ну вот не пришло в голову никому, что 200кб кода кому-то понадобится копипастить с отладчика. Возможно потому, что отладчик немного для других целей придуман. Я о том, что нужную команду можно зарегистрировать и самому, если очень сильно хочется.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Тупой вопрос, но зачем нужна вкладка в отладчике - "исходный код" ? Для декомпиляции есть отдельная же. Что тут должно быть?

| Сообщение посчитали полезным:

Для работы со своими исходниками, которые на C или C++. Может и для других языков есть поддержка - я не пробовал.

| Сообщение посчитали полезным:

dma а как подключить свои исходники?

| Сообщение посчитали полезным:

morgot, вот -->здесь <-- я об этом уже спрашивал.

| Сообщение посчитали полезным:

Гугл говорит, что "x64dbg source view" доступен при наличии отладочных символов (.pdb файл). А шерлоку холмсу неплохо бы знать, что клерк никогда не стал бы интересоваться как та или иная фича в дебаггере работает. Он бы бегло посмотрел x64dbg в отладчике, придумал бы как это на самом деле работает и попытался всех убедить, что это работает именно так, как он придумал.

-----
2 оттенка серого

| Сообщение посчитали полезным:

dma завязывай не по теме гонять и провоцировать на флуд.

| Сообщение посчитали полезным:

Как можно по bp заполнить участок памяти (32 байта) нужными значениями?
В "команде" я могу сделать memset, или на асме 4 байта записать, как больше не понятно.

Автор крайне скуп на описание и примеры в документации, в частности поэтому я так и не могу до конца разобраться со скриптингом. Поиск по докам работает из рук вон плохо, хоть бы кто-то статейку накатал на эту тему...

| Сообщение посчитали полезным:

И все таки. Делаю билд студией (2008 или 2015). В папке лежит test.exe , test.pdb . Открываю ехе в дебагере, и.. нет никаких исходных кодов.
Перехожу на вкладку отладочные символы, жму правой кнопкой на test.exe - загрузить символы. Он пишет что-то вида
Загрузка символа Test1.pdb
Сигнатура: 814561AB9A294787A8A50B54A4456509E
Место назначения: ...\x32\symbols\Test1.pdb\814561AB9A294787A8A50B54A4456509E\Test1.pdb
URL: https://msdl.microsoft.com/download/symbols/Test1.pdb/814561AB9A294787A8A50B54A4456509E/Test1.pdb
Symbol download failed... See symbol log for more information

Ес-но на сайте нет моих символов, но они лежат тупо рядом в папке.
Была версия от 2.09.2018. Скачал самую новую - такая же ерунда. Что я делаю не так?

| Сообщение посчитали полезным:

Все работает, прошу прощения , просто нужно:
1. Дебажить на той же машине, где и собиралось, иначе какие-то не те пути в pdb.
2. Переходить в дебагере именно к "пользовательскому коду", и уже где-то там становится доступным исходный код. Доступность его видно на вкладке CPU , там появляются коменты вида filename.c 13 (имя файла строка).
Не претендую на истину, но может кому пригодится. Или же можете удалить это сообщение вместе с предыдущим, если ценности форуму оно не несет.

| Сообщение посчитали полезным:

morgot пишет:
1. Дебажить на той же машине, где и собиралось, иначе какие-то не те пути в pdb.
Удивительно не правда ли, но в твоем ехе прописан абсолютный путь к pdb файлу.

Впрочем morgot пишет:
Делаю билд студией (2008 или 2015). , а как мы знаем от вас студия генерит монструозные хеллоуворды, так что нет, для вас не удивительно.

| Сообщение посчитали полезным:

вроде неплохой туториал. Помещу здесь, поскольку используется x32dbg.

--> Keygenning diablo2oo2's crackme 5<--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Есть такой плагин - AdvancedScript version 2.8
https://github.com/Ahmadmansoor/AdvancedScript/releases
Плагин у меня не регистрируется для обеих разрядностей, есть ещё x64dbgpy, на х32 работает нормально, в х64 не загружается. Кто сталкивался?!

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
Плагин у меня не регистрируется для обеих разрядностей
Он не светится в меню Plugins
use Scriptw command for showing the Script window and F12 for steping сказано в readme.md, и это работает

Добавлено спустя 3 минуты
mak пишет:
есть ещё x64dbgpy, на х32 работает нормально, в х64 не загружается
Предположу, что это связано с разрядностью установленного питона (и возможно галкой register environment variables при его установке)

-----
2 оттенка серого

| Сообщение посчитали полезным: mak

Не хочу темы плодить из-за частного вопроса, помещу на удачу здесь, может кто-нибудь и поможет.
Была какая-то не старая утилита, которая могла динамически эмулировать и разбирать инструкции на малейшие детали, при этом все поля можно было редактировать, смысл утилиты изучать машинный язык, его структуру и работу. Но я не припомню название этой утилиты, а сам к сожалению не сохранил.
там был DOS подобный GUI, можно было редактировать всю структуру инструкции, т.е. была полная раскодировка инструкции на всех уровнях возможного отображения .. встроен эмулятор х64-х32 кода, мне кажется этот проект был на гитхабе, но я не смог найти поиском.

не Zydis!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Интересно x64dbg работает. Версия от 27 ноября 2018 года. В RtlImageNtHeaderEx()


По rdx база, там та самая сигнатура, но при сравнении ZF не устанавливается! ??? Это как так? Это что, вмешательство дебаггера в работу программы? Это больше на неправильную эмуляцию похоже. Зачем такое писать???

В версии от 30 апреля всё ок? Никто не знает?

-----
IZ.RU

| Сообщение посчитали полезным:

Подскажите, пожалуйста, как в x64dbg поставить такой брейк

прохожу курс "Введение в крекинг с нуля..." попутно пытаюсь делать тоже самое в этом инструменте.

| Сообщение посчитали полезным:

masterkey0 пишет:
как в x64dbg поставить такой брейк



--> Тут <-- смотрели?
В этом документе любые виды и вариации bp рассмотрены, нужно только найти тот, что нужен.

или вот --> пример <--.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: masterkey0

plutos пишет:

--> Тут <-- смотрели?

да, но у меня не получается интерпретировать )

чуть киплю. Поиском попал на блог.
Поставил требуемый брейк через gui, смотрю его запись на вкладке брейков

[arg.get(0)+4] == 0x101

(0)+4 поясните, где нужно почитать, чтобы понять, откуда взялись эти значения.

| Сообщение посчитали полезным:

http://help.x64dbg.com/en/latest/introduction/Expression-functions.html#arguments
это они так на стэк смотрят
а ноль или 1 или +4, это зависит от аргов функи

в том же блоге:
BOOL WINAPI TranslateMessage(
_In_ const MSG *lpMsg
);

MSG structure == arg, из МСДН

result:
bpcnd TranslateMessage, "[arg.get(0)+4] == MESSAGE && [arg.get(0)] == HANDLE"
тоесь бряк на ТранМэс, если в стэке по адресу втором места на втором месте МЕССАГЕ, а по адресу первого места в стэке ХЭНДЛ, где то так

typedef struct tagMSG {
HWND hwnd; <- [arg.get(0)]
UINT message; <- [arg.get(0)+4]
WPARAM wParam;
LPARAM lParam;
DWORD time;
POINT pt;
} MSG, *PMSG, *LPMSG;

предлагаю учить Си и Винапи (iczelion?) в основах, поверьте, легче будет

| Сообщение посчитали полезным: masterkey0

спасибо ) теперь более-менее понятно. Инструмент гибкий, но насколько же проще это сделао в olly

| Сообщение посчитали полезным:

коллеги, разбираю кракми (в аттаче) из пятнадцатой главы руководства для новичков по олли от Нарвахи.
Порядок действий: вешаем брейк на TranslateMessage, меняем его на MSG==202 (в x64dbg задаём сразу), после срабатывания находим в памяти строку и вашем на неё bpm on access.
Машина одна и та же, ось тоже. В ольге оказываемя там, где надо, в x64dbg летим в непонятное. И это не первый bpm, который в x64dbg срабатывает непонятно где. Догадываюсь, что делаю что-то не правильно. Что?





2533_14.05.2019_EXELAB.rU.tgz - SamBo.7z

Добавлено спустя 12 минут
Добавлю. Проделал тоже самое в x64dbg, но вместо bpm использовал hard - внезапно оказался там, где нужно.
bpm глючат или я лажаю?

| Сообщение посчитали полезным:

хдбг не умеет ставить мембп на байты, ставит на целый мемпэйдж
помоему через access rights и когда мемпэйдж хто читае, ловит ошибку
в окошечке бреакпоинтс, смотрите на адрес, та стоит для мембп круглое такое число


| Сообщение посчитали полезным: masterkey0

Так VirtualProtect работает на страницу

| Сообщение посчитали полезным: masterkey0

hash87szf пишет:
помоему через access rights и когда мемпэйдж хто читае, ловит ошибку

это ужасно. Ребята впихнули три ассемблера и оставили такой ужас в базовом для отладчика функционале.

Apocalypse пишет:
Так VirtualProtect работает на страницу

Олега, в своё время, это не смутило

| Сообщение посчитали полезным:

Apocalypse пишет:
Так VirtualProtect работает на страницу
И что мешает в обработчике исключения проверить адрес при обращении к которому произошло исключение, и если он не тот - пропускать его?
Просто так реализовали и всем пофиг.
А по факту оно не юзабельно в таком виде, проще аппаратные бряки использовать если их хватает...

| Сообщение посчитали полезным:

У них это в трекере есть 2 года как минимум. Закрыто как невоспроизводимое, как я понял афтар не юзает поэтому нету.

| Сообщение посчитали полезным: