Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

Psalmopoeus Pulcher Спасибо! Теперь всё работает Изучить структуру мне не пришло в голову, после таких страданий с кодом. Ошибка наверное закралась в том, что в примерах или хидере где-то указывалось, что обращение к таблице идёт с разницей между табличной и индексной, но документация конечно жесть. Спасибо ещё раз!

Ошибка найдена, это не правильно сконвертированный хидер, поэтому дизасм всё правильно делает, а обращение к структурам с ошибками. Нужно исправлять.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Плагин для логирования переходов/вызовов

Автор - Kurapica (b-at-s.info)



9466_11.07.2016_EXELAB.rU.tgz - x64dbg tracer plugin.rar

| Сообщение посчитали полезным: Bronco, mak, zNob

Может кто знает почему скрипты в x64dbg так медленно работают?
Cкрипт в Olly x86 отрабатывает задачу за 10 минут, в то время как такой же в x64dbg вытягивается в несколько часов... сам движок исполнения какой-то приторможенный, хотя в оле даже визуализация исполнения есть Может можно что-то отключить чтобы он отрабатывал быстрее? вывод в лог я отключил - не помогло.

| Сообщение посчитали полезным:

Tyrus Сделай тайминги своего скрипта и как лог прикрепи, задай вопрос на гитхубе, вообще было бы классно предложить сделать билд с напичканными везде тайминг логерами, потом сравнить участки и поработать над оптимизацией алгоритмизации. Это была бы хорошая причина открыть подобный запрос.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Tyrus oolydbg лучше оптимизированна, разработка дольше ведется, есть эмуляция и тд

x64dbg по скоросит далеко позади, но я думаю рано или поздно подтянется, можно самому поотлаживать и посмотреть где критичные места, можно запатчить я так для олли делал давно, вырубал все плаги кроме своего, оповещения лишние и келлбеки, в итоге было значительно быстрее.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Tyrus пишет:
почему скрипты в x64dbg так медленно работают?

уже можно ассемблерные вставки в скрипт делать для ускорения оного

| Сообщение посчитали полезным: Tyrus

Надо попробовать - с ассемблером хорошая идея!

| Сообщение посчитали полезным:

Tyrus пишет:
движок исполнения какой-то приторможенный
Есть такое, но это терпимо..А вот зависы гуя, напрягают.
И ещё, не знаю с какого билда пошло, но "некоторые" выделенные страницы в карте памяти не отображаются.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Да, тоже заметил - после пары часов работы скрипта gui просто зависает, хотя похоже что скрипт все еще работает, но уже ничего не сделать.

Добавлено спустя 3 часа 53 минуты
Оптимизировал скрипт (убрал лишние шаги/проверки), сделал больше асма, заюзал guiupdatedisable в начале скрипта и guiupdateenable в конце скрипта (--> guiupdatedisable help <--), отключил вывод в лог и скорость исполнения выросла в разы - уже вполне приемлемо работает.

| Сообщение посчитали полезным:

Bronco пишет:
И ещё, не знаю с какого билда пошло, но "некоторые" выделенные страницы в карте памяти не отображаются.
Кстати проверь новый билд
https://github.com/x64dbg/x64dbg/issues/836
Вроде был фикс какой-то сегодня.

| Сообщение посчитали полезным:

Nightshade пишет:
Вроде был фикс какой-то сегодня.
..блин надо донатить, раз фиксит, пару раз смотрел, будет ли ответ..но чего-то решил что положат на это дело..
пофиксил, воркает...но теперь апдейт через тулбар слетел...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Nightshade пишет:
Вроде был фикс какой-то сегодня.
..блин надо донатить, раз фиксит, пару раз смотрел, будет ли ответ..но чего-то решил что положат на это дело..
пофиксил, воркает...но теперь апдейт через тулбар слетел...

Апдейт не слетел, апдейты обращались на дженкинс, а этот адрес сейчас недоступен, он уже около 5 дней в офлайн.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Добавили простенький граф


| Сообщение посчитали полезным: Bronco, mushr00m

Вопрос к тем, кто использует отладчик в среде Вин7х64.
Что нужно, чтобы в этой среде дебагер х64 работал стабильно?
Мистика, но на тех же скриптах, в этой среде, тупо зависы и вылеты.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Nightshade пишет:
Добавили простенький граф
без масштабирования пока неайс, но зато нормально отображает большое количество ветвлений в отличие от иды (ни в какую не хочет отображать 1000 нодов)

| Сообщение посчитали полезным:

Похоже на баг с регионами памяти на Win7x64. После загрузки DLL она не доступна для просмотра в дампе или дизассемблере, нет ни какой реакции на попытку перейти по адресу загрузки DLL. По F7 выполнение идет по шагам, RIP увеличивается но дизассемблер не заходит в "call qword ptr ds:[<&CryptAcquireContex]"
В это место оно пришло из загрузчика Delayed Import, тут уже в моей DLL переходник.



| Сообщение посчитали полезным:

Vicshann пишет:
Похоже на баг с регионами памяти на Win7x64. После загрузки DLL
С либами подобная борода бывает не только на сёмёрке.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Vicshann пишет:
по адресу загрузки DLL

aslr, не?

| Сообщение посчитали полезным:

Gideon Vi пишет:
aslr, не?
Еще не придумали такого, чтобы DLL перемещалась в памяти после загрузки через LoadLibrary и ее хендл пока равен адресу загрузки

| Сообщение посчитали полезным:

You are welcome to come look at the performance of the script engine, I didn't use it for years.

Also graph overview was implemented:

https://i.imgur.com/CnVbYHd.png https://i.imgur.com/QRgEm1A.png

| Сообщение посчитали полезным: mak, OKOB, daFix, -Sanchez-, VodoleY, Bronco, ClockMan, mushr00m

mrexodia пишет:
You are welcome to come look at the performance of the script engine, I didn't use it for years.
It is sad that after TitanScript, the engine was updated.
In the trace (ESTI/STI) the script runs very slow.
When you do "pause", and the menu itself, in the context of the disassembler window?
For the debugger thank you.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

mrexodia пишет:

You are welcome to come look at the performance of the script engine, I didn't use it for years.

Also graph overview was implemented:

https://i.imgur.com/CnVbYHd.png https://i.imgur.com/QRgEm1A.png

Hallo mrexodia,

how to work with the threads? With the latest build dated 25 August I,m having trouble, breakpoint installed on the function works fine, but the control is not transmitted, I continue to debug on the main thread, switch does not work, how to debug threads right?

The best way to measure the speed, make a trial package with the measurement of time-outs ...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

> how of to work with the threads?

Currently there are some problems with the debug engine and multi-threading. I recommend using conditional tracing if possible instead of single estep, also you can use the SingleStep command if you need to step a fixed number of times (http://help.x64dbg.com/en/latest/commands/debug-control/SingleStep.html)

| Сообщение посчитали полезным:

что-то дебаггер стал "портить" листинг. В частности при скроллинге код разваливается и ринг3 код разбавляется ринг0 инструкциями. В чём может быть проблема?

| Сообщение посчитали полезным:

script engine was heavily optimized, now 88000 commands per second (from 23/second). Max steps per second: 500.

Tested with (500 steps per second):

numsteps=0
loop:
numsteps++
sti
cmp numsteps,1000
jb loop

And counting:

counter=0
loop:
counter++
jmp loop

| Сообщение посчитали полезным: Bronco, Tyrus, mak, v00doo, Nightshade, Apocalypse, ClockMan

Nightshade
ну, а где инфа о обнове?

| Сообщение посчитали полезным:

Кто-то имеел проблемы с NtApiTool на windows 10 anniversary update ?! У меня нет соединения с серверами, самое необычное, что такая же тема была ранее, но только на 32 битной системе .. Теперь на обоих

В папке только файл появляется - download.error, хотя связь с самим сервером вроде как есть ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
Кто-то имеел проблемы с NtApiTool на windows 10 anniversary update ?! У меня нет соединения с серверами, самое необычное, что такая же тема была ранее, но только на 32 битной системе .. Теперь на обоих

В папке только файл появляется - download.error, хотя связь с самим сервером вроде как есть ..

Для х86 (у меня ошибка в scylla на х86)


Для x64

Вчера использовал NtApiTool, проблем не было.

| Сообщение посчитали полезным:

mak, во во, думал я один такой. Надо проверить пинг до серваков M$, либо тут в чем-то другом трабла.

| Сообщение посчитали полезным:

Конект есть, может пдб не качает.
--> Приатачил <-- с ними для вин10

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: