Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

Подскажите - как-то можно в х64 дебагере сохранять трассу в текстовый файл без написания плагина ?

| Сообщение посчитали полезным:

bartolomeo пишет:
как-то можно в х64 дебагере сохранять трассу в текстовый файл
можно, даже с контекстом. но не больше 10к инструкций в час минуту.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: ClockMan

что именно нужно нажать ? - что-то в упор не вижу (

| Сообщение посчитали полезным:

bartolomeo


выбираешь файл журнала, задаешь текст текст журнала
тот текст что указан для примера выводит виртуальныйадрес и инструкцию

| Сообщение посчитали полезным: bartolomeo, dma, morgot, _MBK_

коллеги, может быть есть плагин, действительно улучшаяющий статический анализ? StaticAnalysis is deprecated, xAnalyzer что-то может, но там где надо (в стеке) его нет. После Olly это боль.

| Сообщение посчитали полезным:

расскажите, что с плагинами, которые требуют capstone.dll? Они работают на новых вериях, если докопировать эту dll или их пора удалять?

| Сообщение посчитали полезным:

Подскажите аналог команды "eval" для скрипта.
(eval "jmp dword ptr ds:[хххххххх]")
В доках не нахожу....

| Сообщение посчитали полезным:

PEvgen пишет:
аналог команды "eval" для скрипта.
аналога нет, только --> формат строки<--, но не во всех командах он поддерживается.
проще через свой плагин добавить команду для форматирования нужной строки.
PEvgen пишет:
(eval "jmp dword ptr ds:[хххххххх]")
хз ...давно не юзал, в команде ASM вроде можно было юзать динамическую адресацию.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: PEvgen

Bronco спасибо, а-то я уже подумал что слеп и туп (хотя и не разубедил окончательно)....
А через свой плагин, это про вот это?
Plugins
Plugins can use _plugin_registerformatfunction to register custom string formatting functions. The syntax is {type;arg1;arg2;argN@expression} where type is the name of the registered function, argN is any string (these are passed to the formatting function as arguments) and expression is any valid expression.
Я так понимаю...

| Сообщение посчитали полезным:

PEvgen пишет:
Я так понимаю...
на самом деле очень полезная фишка, можно нарастить весь недостающий функционал.... и накидать своего.
хз чем поможет,не больше как пример, но вывод в лог делал свой. тупо надо было.

не все аналоги подобрал, но мне для задачи хватило.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Ну....написание плагов оставлю чуть на позжее, а то за всеми погонишься - выгребать много....

Случаем увидел тут --> AdvancedScript 4.0 <--, еще не глядел, но думаю это то что мне надо....

| Сообщение посчитали полезным:

PEvgen пишет:
но думаю это то что мне надо
хз. как то название громкое, подумал что отдельный двиг, со своим фейсом в меню и табшитах, отладкой скрипта и всеми вытекающими.
а на деле, автор увлёкся писаниной, и половину готовых команд продублировал.
По решению твоей задачи, вот как то команду нужную не заметил.
Но...принцип тот же, регистрируешь имя команды, и решаешь свои задачи.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Надеюсь автор плагина читает эту ветку ..

nfdx64dbg плагин (https://github.com/horsicq/nfdx64dbg) ломает настройки стилей в последней версии дебагера, хотя и в предыдущих тоже, подробности можно посмотреть здесь - --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: hors

в окне дампа есть закладка для просмотра структурированных данных, хидер для структуры по ходу на джейсоне.
кроме как парсер в сорцах смотреть, есть ли ещё варианты в природе, чтобы посмотреть как это работает?
в доках зеро, с примерами ещё хуже.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Unfortunately the type system is a bit jank and unclear to use. Here are some blog posts that explain it in more detail:

https://x64dbg.com/blog/2016/12/04/type-system.html
https://x64dbg.com/blog/2016/11/27/weekly-digest-14.html#types

Currently the main issue is that there is no ready-made JSON to import types from (similar to IDA type libraries), so you manually have to hack everything together (the C parser is written by hand and is very crappy). The plan was to write something similar to 010 editor's templates (perhaps kaitai struct) that would allow you to inspect the data in a programmatic way, but I never got around to it.

The API to display custom structures is available for plugins, so it would be possible for example to have a PE parser plugin that will lay out the structure for the user to view. Like most things however it is hardly ever used (I used it only a few times to display a CONTEXT structure) so there are not many improvements happening in that area. If you have specific questions or requests feel free to ask, but nowadays I'm mostly busy improving performance and stability so I don't know if I will be able to address them.

| Сообщение посчитали полезным: Bronco

mak пишет:
Надеюсь автор плагина читает эту ветку ..

nfdx64dbg плагин (https://github.com/horsicq/nfdx64dbg) ломает настройки стилей в последней версии дебагера, хотя и в предыдущих тоже, подробности можно посмотреть здесь - --> Link <--

Спасибо за тестирование. Я пишу плагины для x64dbg по туториалу от автора. --> Link <-- Это конечно всё можно исправить, но для этого нужно использовать недокументированные способы, которые могут и не работать в следующих версиях x64dbg.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

я так понимаю что к листингу в окне диза, доступа через сдк апи нет.
и поиск тех же константных значений по ходу только через фейс отладчика, а результ в реф закладку.
скриптовой файндер заточен только под паттерны. не густо...))
и что быстрее, поиск в текстовом листинге с выходом на всю строку мнемоники, или в бинаре ковыряться через диз?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Хз какой то косяк пошёл с скриптовым двиглом.
DbgValFromString в место значения из переменной по скрипту, тупо конвертирует в число имя переменной.
Проверил на свежем сдк, баян тот же. студия 2015, вин10.1809

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

случайно ни у кого не завалялся плагин ret-sync для IDA 6.8?
у кого завалялся - поделитесь, пожалуйста!

| Сообщение посчитали полезным:

parfetka пишет:
плагин ret-sync для IDA 6.8?

Последняя версия ret-sync с поддержкой IDA 6.x:
--> ida6.9x <--, --> issue #1: Add support for IDA 6.8 and lower <--
Поддерживаются:
- IDA6.9/Qt5
- IDA6.8/Qt4 и более ранние 6.x

P.S. Тема про x64dbg, а не про IDA.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter
P.S. Тема про x64dbg, а не про IDA.

речь про этот плагин:
https://github.com/x64dbg/x64dbgida - он для IDA7 (у меня есть v.1 для IDA 6.8)
и к нему "ответная часть" - плагины для x64dbg:
https://github.com/bootleg/ret-sync - тут во-первых исходники, во-вторых для IDA 7
Нужны ret-sync.dp32 и ret-sync.dp64.

| Сообщение посчитали полезным:

parfetka
Нужны ret-sync.dp32 и ret-sync.dp64.

Не так.
Бинари плагинов ret-sync для x64dbg называются:
- x64dbg_sync.dp64
- x64dbg_sync.dp32

См. папку "ret-sync-ida6.9x/ext_x64dbg".

parfetka пишет:
тут во-первых исходники, во-вторых для IDA 7

- Во-первых, там скрипты на питоне (да, это исходники, но для Python это стандартный тип поставки).
- Во-вторых, весь архив специально создан для поддержки legacy версий IDA, включая линейку IDA 6.9x.

Добавлено: Бинарь для x64dbg (32+64):
ret-sync-x64dbg.7z

323c_22.11.2019_EXELAB.rU.tgz - ret-sync-x64dbg.7z

-----
EnJoy!

| Сообщение посчитали полезным: parfetka

У меня почему-то х64дбг падает при попытке импорта JSON файла dd32. Т.е. создаю в Ида такой файл (через плагин питоновский), делают импорт, и- любое движение мыши, появлется куча мессаджбоксов

Error
---------------------------
Invalid parameter passed to CRT function! Program will now generate an exception.

File: ???
Function: ???
Expression: ???
---------------------------
ОК

Что это может быть?

| Сообщение посчитали полезным:

не уверен что многим это надо, или ваще не используют, но в анализе тела функции для построения графа нет парса бранч_табле, в итоге код в кейсах оператора выбора, за пределами анализа. посмотрел у диа по коду, условие для завершения анализа практически два -ласт_рет, если есть больше одного ретурна, и в некоторых случаях jmp_reg(!), если через него нет условия бранча, переход за пределы страницы анализ не завершает(!).
Интресует:
1.прежде всего детект свич конструктора, пока основным условием, наличие инстр с указателем на базу образа.
2.разные вариации генерации свитч конструкции. в с/с++ по ходу один вариант.
3.кол -во элементов в бранч_табле, обязательно "пятится назад", к условию перехода на дефолтный кейс?
пока всё..))

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
не уверен что многим это надо, или ваще не используют, но в анализе тела функции для построения графа нет парса бранч_табле, в итоге код в кейсах оператора выбора, за пределами анализа. посмотрел у диа по коду, условие для завершения анализа практически два -ласт_рет, если есть больше одного ретурна, и в некоторых случаях jmp_reg(!), если через него нет условия бранча, переход за пределы страницы анализ не завершает(!).
Интресует:
1.прежде всего детект свич конструктора, пока основным условием, наличие инстр с указателем на базу образа.
2.разные вариации генерации свитч конструкции. в с/с++ по ходу один вариант.
3.кол -во элементов в бранч_табле, обязательно "пятится назад", к условию перехода на дефолтный кейс?
пока всё..))

С этой тему лучше сразу в "предложения на реализацию" на гитхаб. Если есть такое ограничение, то теоретически можно сделать список с "переходниками", а граф строить дополнительным анализом указателя переходника, примерно, как ида прыгает в отображении графов. Строить всё не всегда имеет смысл, это нужно делать динамично для экономии памяти, поэтому видимо следует переделать весь алгоритм отображения графа или использовать свой список.

morgot пишет:
У меня почему-то х64дбг падает при попытке импорта JSON файла dd32. Т.е. создаю в Ида такой файл (через плагин питоновский), делают импорт, и- любое движение мыши, появлется куча мессаджбоксов

Error
---------------------------
Invalid parameter passed to CRT function! Program will now generate an exception.

File: ???
Function: ???
Expression: ???
---------------------------
ОК

Что это может быть?

Он вечно падает в этом месте, множество раз было указано, что там, что-то не так ... видимо множественные ошибки, трудно найти ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
С этой тему лучше сразу в "предложения на реализацию" на гитхаб
на самом деле cfg со 100%+ покрытием, и практически для любого вида анализа, как всего кода, так и отдельными функами. всегда мапится вся страница, потом это через диз, определеятся конец функции, блоки в узлы, узлы в список, но вот перед отрисовкой графа, идёт сортировка узлов, килл дубликатов и "мёртвого кода", и вот тут код в кейсах попадает в значение - "мёртвый код".
Прежде чем вносить предложения надо разобраться сколько ,после сборки, бывает разновидностей свичей, из под разных компиляторов. У меня пока 2 классических на с/с++ - один просто с бранч_табле, второй дополнительно с индексами, переход через jmp_reg. Ещё попадался без таблицы, передача управления на кейс через "call [reg +reg*4+disp]", но в этом случае покрытие есть.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Появилась (или планируется) ли возможность подсветки макросов при вызове WinAPI функций или других API-функций в отладчике? Может это плагином ремонтируется? OllyDbg в этом плане очень удобен.

| Сообщение посчитали полезным:

ELF_7719116 пишет:
подсветки макросов при вызове WinAPI функций
xAnalyzer? https://github.com/ThunderCls/xAnalyzer

| Сообщение посчитали полезным: ELF_7719116

anony-mouse
Похоже, но в стеке при динамической отладке нихрена ничего не подсвечивается из аргументов.
Если предварительно была экспортирована инфа из *.map файла (ida родила), то результаты работы плага не отображаются.

| Сообщение посчитали полезным:

mak пишет:
Если есть такое ограничение
хз...у диа сейчас всё настроено на граф. даже если обновит, всё равно это прожорливо по памяти/времени на выходе. блоки уже в рендере, раскиданы не линейно (влево_вправо), какой блок ласт понятно только после своей сортировки, физ размеры блоков не известны, из плюсов только что размечено, где вершина, а где вхождение. из практики, таким функционалом анализить 100к тел,размером от 0x10 до 0х4к байт, это на фуево часов..))
попробовал замутить своё, и сразу столкнулся, что в моём случае завершать список надо больше чем в 2 случаях:
1. jmp_imm - если бранч его не обходит.
2. jmp_reg - если бранч его не обходит.
3. jmp_mem - если переходник с базой рип, и если бранч его не обходит
4. call_imm - если он ласт в теле функции, такое бывает, а диа полюбасу ищет в странице рет.
5. ret - как правило ласт, после бранч_дест.
хз может ещё есть заборы?...))
с разметкой и "мёртвым кодом" разобрался быстро, правда пока не тестил на телах где может диз "сломаться".
по табле_бранч пока смакую как это раскрутить.
--------
в капстоне мона свитч га групах инструкций построить?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: