| Сейчас на форуме: -Sanchez-, morgot, sashalogout (+4 невидимых) |
 |
eXeL@B —› Софт, инструменты —› x64dbg отладчик |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 11 декабря 2013 11:49 · Поправил: Ra1n0 · Личное сообщение · #1 Актуальные ссылки: Документациия по отладчику - Новый проект от Mr.eXoDia и др. Features: Open-source Intuitive and familiar, yet new user interface C-like expression parser Full-featured debugging of DLL and EXE files (TitanEngine) IDA-like sidebar with jump arrows IDA-like instruction token highlighter (highlight registers etc.) Memory map Symbol view Thread view Content-sensitive register view Fully customizable color scheme Dynamically recognize modules and strings Import reconstructor integrated (Scylla) Fast disassembler (BeaEngine) User database (JSON) for comments, labels, bookmarks etc. Plugin support with growing API Extendable, debuggable scripting language for automation Multi-datatype memory dump Basic debug symbol (PDB) support Dynamic stack view Built-in assembler (XEDParse) View your patches and save them to disk Built-in hex editor Find patterns in memory 
 | Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion |
|
|
Создано: 26 февраля 2020 12:59 · Личное сообщение · #2 mak пишет: SergeyFil пишет: подскажите, а на последних билдах у всех поиск по String стал очень долгим? Прям ну очень медленно ищет Проблему нашли ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 26 февраля 2020 13:32 · Личное сообщение · #3 mak удивительно то , что кто-то дебажит софт на машине с говнософтом, именуемым "антивирус". Зачем?? Если , конечно, цель не реверс этого самого авера. а то, что авер замедляет комп, не удивительно ни разу. говНод же сканирует всю память всех приложений, типа для защиты от "крипторов", а на деле это такой себе легальный мимикатц. |
|
|
Создано: 29 февраля 2020 17:49 · Личное сообщение · #4 А есть опция «Copy to executable»? Ну чтобы изменения байт в ехе сохранить. |
|
|
Создано: 29 февраля 2020 17:58 · Поправил: Bronco · Личное сообщение · #5 WELL, в дебагере обычный патчер. ------ свежий релиз, очень долго загружает файлы. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 29 февраля 2020 17:59 · Поправил: esa_r · Личное сообщение · #6 WELL File->Patch file... спасет отца русской демократии ЗЫ куда делись плугины для отладчика? больше не поддерживаются? Просто я с 2018 года не обновлял отладчик | Сообщение посчитали полезным: WELL |
|
|
Создано: 29 февраля 2020 18:10 · Личное сообщение · #7 Bronco, esa_r, благодарю 
|
|
|
Создано: 17 марта 2020 18:45 · Личное сообщение · #8 Есть возможность вывести в лог имена функций при массовой установке бп? Так через "символы" можно задать точки останова на все функции модуля сразу, но при этом условных бп в выборе нет. Цель - получить последовательный список имен всех вызываемых фунций из одной конкретной dll. Осложняется все тем, что этих функций в сеттинге того же апи монтора нет, иначе просто посмотрел бы там. Если x64 не умеет, может чем-то еще? |
|
|
Создано: 17 марта 2020 18:50 · Поправил: Bronco · Личное сообщение · #9 Ate пишет: Цель - получить последовательный список имен всех вызываемых фунций из одной конкретной dll если имена есть, через формат строки их можно если это апи импорта или экспорта,вместо бп, может лучше на атрибутах раздела образа библы поиграться? ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 22 марта 2020 00:53 · Личное сообщение · #10 Как в OllyDbg, так и в x64dbg, команда скрипта find работает через  , старый добрый способ в 1000 раз быстрейCode:
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 22 марта 2020 09:49 · Поправил: Bronco · Личное сообщение · #11 ClockMan пишет: команда скрипта find работает через дык... тут яра двиг, ищет чётко. я обычно для некст, смещаю адрес поиска на длину паттерна. ------------ как посчитать, состояние какого флага проверяют? Code:
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 24 марта 2020 17:01 · Личное сообщение · #12 Вопрос дня: как x64dbg работает с исключениями?! Положим, нужно узнать все вектора, которые приложение повесило плюс смотреть контекст, после возникновения эксепшена (когда в NTDLL.KiUserExceptionDispatcher - повешенном векторе находимся ) Если дебагер поставил точку останова, вектора ведь тоже получат управление после отладчика, так подозреваю? |
|
|
Создано: 25 марта 2020 01:23 · Личное сообщение · #13 ELF_7719116 ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 25 марта 2020 12:21 · Личное сообщение · #14 ClockMan Тут вопрос в самом механзиме. У отладчике есть гадский баг с неудаляемыми точками останова (аппаратными), если адрес поменялся при ремапе mrexodia Please fix critical bug with undeleted hardware breakpoints for unmapped sections (with different address)! I see hw bp in list, but can delete - No such hardware breakpoint "any_addr" |
|
|
Создано: 25 марта 2020 12:38 · Личное сообщение · #15 ELF_7719116 пишет: Тут вопрос в самом механзиме. У отладчике есть гадский баг с неудаляемыми точками останова (аппаратными), если адрес поменялся при ремапе Параметры>Ядро>Игнорировать несовместимые точки останова???? ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 25 марта 2020 13:47 · Личное сообщение · #16 ClockMan пишет: Параметры>Ядро>Игнорировать несовместимые точки останова??? Всё равно отдалчик не удаляет их из списка. Причем он их ставит, но не обрабатывает: из-за этого лютая дичь получается. |
|
|
Создано: 25 марта 2020 15:13 · Личное сообщение · #17 Bronco пишет: как посчитать, состояние какого флага проверяют? вот не ожидал что вопрос сложный, дам подсказку, это проверяют состояние CF. но вопрос остался.. 
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 29 марта 2020 10:21 · Поправил: _MBK_ · Личное сообщение · #18 Извиняюсь за чайниковский вопрос, мне надо прерваться в момент считывания 36 байт, ставлю в x32dbg бряк на ReadFile - полет нормальный, останавливает везде. Чуть усложняю - добавляю к бряку условие останова ([ESP+0C]==24) - запускаю, ничего не меняется, все равно останавливает везде. Где я туплю? PS Все вкурил ( [ esp + 0C ] == 24) сработало как надо |
|
|
Создано: 29 марта 2020 15:43 · Поправил: friend · Личное сообщение · #19 Bronco пишет: но вопрос остался.. Чё серьёзно? Case ROR > ROL: 0xB - 0xA == 1 -> first flag -> Reserved, always 1 in EFLAGS (это не CF...) bit flag 0 cf 1 2 pf 3 4 af 5 6 zf 7 sf 8 tf 9 10 df 11 of Нужно только обдумать кейсы когда аргумент >64 и конструкции другой формы, типа ROR сначала итд. Но биты ты крутить я думаю умеешь и арифметику знаешь. И с твоего поста не ясно что чекают после ROR, может первый бит, а может и нет. Добавлено спустя 7 минут Есть возможность убрать подсветку с адреса но только на коротких джампах? 
| Сообщение посчитали полезным: Bronco |
|
|
Создано: 29 марта 2020 15:53 · Поправил: Bronco · Личное сообщение · #20 friend пишет: это не CF... R11 = rflags = 0x201 а если так ROL R11, 0x3f?  покрути сдвиг вправо. за внимание спасибо. лайкнул ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 29 марта 2020 16:29 · Личное сообщение · #21  А тема с кейсами, это честно говоря твое дело и вроде только дело времени нужного для их формулировки. Пример: case ror < rol 8 bit register 76543210 rol 6 10765432 ror 2 32107654 4th bit is now least significat bit -> abs(2-6) or 6-2? Я не уверен, какой вариант правильный. Если аргумент уйдёт за размеры регистира то модуло reg-1 выдаст позицию битa после рол'а, где то так... плюс минус один. Но это твоё занятие... |
|
|
Создано: 29 марта 2020 16:41 · Личное сообщение · #22 friend, ROR R11, 0xB = ROL R11, 0x35, возможно здесь решение? ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 29 марта 2020 17:12 · Поправил: friend · Личное сообщение · #23 Я не пойму, ты прикалываешься надо мною? РОЛы информацию не теряют, возьми нарисуй регистр и смотри куда сдвинулся бит. Алсо, что значит твой знак "равно"? Пример 8 битного регистра, 76543210, flagpos 0 == cf (flagpos + rol_arg) % reg_size == flagpos_after_rol (0 + 1) % 8 == 1 (0 + 7) % 8 == 7 (0 + 8) % 8 == 0 (0 + 15) % 8 == 7 // После рола на 15 бит влево, cf оказывается на позиции 7 -> 07654321 Остаётся только с рором определиться. |
|
|
Создано: 29 марта 2020 17:26 · Поправил: Bronco · Личное сообщение · #24 friend пишет: ты прикалываешься надо мною? у меня нет пока решения, у меня только догадки и поиск. на PUSHFQ, не обращай внимание, это для конкретности что регистр r11 = состоянию рфлаг, не обязательно текущему. friend пишет: что значит твой знак "равно"? операции идентичны по результу, два сдвига влево (0x35 + 0x0A) можно суммировать? если да, то в итоге сдвиг влево на 63 позиции, если СF = 1, мы получим число, если СF = 0, то на выходе зеро. у меня сейвят в контекст, 8 флагов по отдельности, и пока такая арифметика подходит. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 31 марта 2020 14:08 · Личное сообщение · #25 Bronco пишет: friend, ROR R11, 0xB = ROL R11, 0x35, возможно здесь решение? Возможно, и оно очевидно, если проверяется первый бит. Исходная позиция:  после операций бит на первом месте. два сдвига влево (0x35 + 0x0A) можно суммировать? Можно, если результат за границы регистра не выходит. Ты же вроде ВМпрот разбирать умеешь, как ты про логику РОЛ/Р не знаешь? |
|
|
Создано: 31 марта 2020 16:26 · Личное сообщение · #26 friend пишет: и оно очевидно, если проверяется первый бит. дякую, 2 схожих мнения лучшего одного. friend пишет: Ты же вроде ВМпрот разбирать умеешь, как ты про логику РОЛ/Р не знаешь? хм.. я задал вопрос, дал подсказку, далее в форме вопросов предложил вариант решения, пока без утверждений и оформления. ожидал подтверждения. что вызывало сомнения? вм гавнопрота давно смотрел, не помню чтобы тогда очень активно юзали сдвиги. в основном NOR и необратимые операции. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 02 апреля 2020 01:38 · Личное сообщение · #27 ELF_7719116 пишет: Please fix critical bug with undeleted hardware breakpoints for unmapped sections (with different address)! I see hw bp in list, but can delete - No such hardware breakpoint "any_addr" Should be fixed now, thanks for the report
| Сообщение посчитали полезным: ELF_7719116, mak |
|
|
Создано: 04 апреля 2020 20:05 · Личное сообщение · #28 Извиняюсь снова за чайниковский вопрос, к вечеру моск замылился А как в x32dbg заменить один шаблон на другой? Скажем, я нашел стопятьсот вхождений шаблона в блоке - как их все разом поменять? |
|
|
Создано: 04 апреля 2020 22:20 · Личное сообщение · #29 _MBK_ пишет: заменить один шаблон на другой? все сразу никак, замена только в процессе поиска, и если шаблон не больше 4 байт (для х32). ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 04 апреля 2020 22:48 · Личное сообщение · #30 А может как нибудь скриптом? Уж сильно дохрена вхождений порядка тысячи 
|
|
|
Создано: 04 апреля 2020 22:55 · Личное сообщение · #31 _MBK_ пишет: порядка тысячи та это ни чём..)) я так понял тебе проще скелет тыкнуть. Code:
----- Чтобы юзер в нэте не делал,его всё равно жалко.. | Сообщение посчитали полезным: _MBK_ |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . >> |
|
eXeL@B —› Софт, инструменты —› x64dbg отладчик |
Для печати