Сейчас на форуме: -Sanchez-, morgot, sashalogout (+4 невидимых)

 eXeL@B —› Софт, инструменты —› x64dbg отладчик
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 22 . 23 . >>
Посл.ответ Сообщение

Ранг: 7.7 (гость), 51thx
Активность: 0.010
Статус: Участник

Создано: 11 декабря 2013 11:49 · Поправил: Ra1n0
· Личное сообщение · #1

Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 07 сентября 2016 16:54
· Личное сообщение · #2

C sendspace.com у меня уже как 2 месяца ничего не качается , с NtApiTool вроде решилось .. я ждал примерно 11 минут для каждой системы, потом появились сум файл и неполный пдб, при этом сама ида качает нормально пдб, но сервера я не сравнивал. Стоит посмотреть внутрь NtApiTool, чтобы уже разобраться навсегда, что там внутри происходит) .. Символы я закачал отдельно пакетом от Майкрософт.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube




Ранг: 17.6 (новичок), 118thx
Активность: 0.02=0.02
Статус: Участник

Создано: 07 сентября 2016 22:31
· Личное сообщение · #3

Microsoft symbol servers have issues: https://social.msdn.microsoft.com/Forums/en-US/35a31403-24f5-4552-8e3c-4c65f2b98c17/microsoft-symbol-server-is-slowbroken?forum=windbg

| Сообщение посчитали полезным: v00doo, mak

Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 07 сентября 2016 22:37
· Личное сообщение · #4

mrexodia
please update Scyllahide under the new win10
thanks




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 07 сентября 2016 23:01
· Личное сообщение · #5

Jaa пишет:
please update Scyllahide under the new win10

сорян что влажу, но скилла по дефолту в снапшоте идет, для ольки и др. надо линковать. Фиксы не глобальные.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 80.6 (постоянный), 194thx
Активность: 0.10.04
Статус: Участник

Создано: 07 сентября 2016 23:07
· Личное сообщение · #6

Jaa, там же вроде как под 13 студию бренч
https://bitbucket.org/NtQuery/scyllahide/src/8665da888a65e3c7185f95a05ea51d4834d22b77/?at=vs13




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 08 сентября 2016 00:53 · Поправил: ClockMan
· Личное сообщение · #7

--> Link <--????????

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.


| Сообщение посчитали полезным: Jaa

Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 08 сентября 2016 09:53
· Личное сообщение · #8

Bronco
v00doo
ClockMan
За обнову спасибо, но ничего не поменяло, ошибки при запуски ольки что первой что второй
---------------------------
Error
---------------------------
Windows 10 SysWowSpecialJmpAddress was not found!
---------------------------
ОК
---------------------------

---------------------------
ERROR
---------------------------
Unknown syscall structure!
---------------------------
ОК
---------------------------




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 08 сентября 2016 14:05
· Личное сообщение · #9

Почитай пару страниц назад, что я писал
https://exelab.ru/f/action=vthread&forum=3&topic=22396&page=4#13



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 08 сентября 2016 15:17
· Личное сообщение · #10

Nightshade
Я читал. Решили эту проблему или ждете обнову?



Ранг: 17.6 (новичок), 118thx
Активность: 0.02=0.02
Статус: Участник

Создано: 09 сентября 2016 13:30
· Личное сообщение · #11

Jaa update it yourself, it is open source. See https://github.com/x64dbg/ScyllaHide




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 09 сентября 2016 13:55
· Личное сообщение · #12

https://www.sendspace.com/file/20f9tr
Возьми с полки пирожок. Пересобрал под новый стаб вин10.



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 09 сентября 2016 14:32
· Личное сообщение · #13

Nightshade
мне б под ольку 1и2, ну и x64dbg
32 битный xdbg без надобности




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 09 сентября 2016 15:16
· Личное сообщение · #14

https://www.sendspace.com/file/wv0hyl
Проверь. На ольке вообще не знаю как работать будет. У меня сама олька без плагинов стабильно зависает на win10.
А для х64 xdbg у тебя вообще не должна выскакивать ошибка SysWowSpecialJmpAddress was not found!
Она появляется только когда отлаживаешь х86 код на Windows 10 x64.
Так что используй билд с гитхаба.

| Сообщение посчитали полезным: Jaa


Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 09 сентября 2016 18:26
· Личное сообщение · #15

mrexodia пишет:
update it yourself, it is open source

Что-то перемудрили, файлы под денуво не грузит.
Files protected Denuvo is not loaded in the debugger.
mrexodia пишет:
file memdump_pid_addr_size.bin in the x64dbg directory

Pages is a lot, please additionally select directory where to save them.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 09 сентября 2016 21:09 · Поправил: mak
· Личное сообщение · #16

The current version of the debugger contains errors, the files are not loaded due to an error in the parser of databases. If the file was already once launched in the debugger, and then again and patched or changed in other ways, the file restarts lead to lockups and crashes. To run the file again, you need to remove all the database with the same name, or just rename it.
Code:
  1. Loading database...
  2. 0ms
  3. Breakpoint 0000000140001142 has been disabled because the bytes don't match! Expected: 48 8B, Found: EB 00
  4. The debuggee does not stop after 10 seconds. The debugger state may be corrupted.
  5. The debuggee does not stop after 10 seconds. The debugger state may be corrupted.
  6. The debuggee does not stop after 10 seconds. The debugger state may be corrupted.
  7. The debuggee does not stop after 10 seconds. The debugger state may be corrupted.


07b6_09.09.2016_EXELAB.rU.tgz - Image.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube




Ранг: 17.6 (новичок), 118thx
Активность: 0.02=0.02
Статус: Участник

Создано: 10 сентября 2016 15:29
· Личное сообщение · #17

Nightshade: please share the source code of your changes as per GPLv3 license.

Bronco: I quickly changed it. Now it will put it in a directory called 'memdumps'.

mak: Deadlock with auto-disabled breakpoints was fixed, update x64dbg. If you don't want to disable them on mismatch there is an option.

| Сообщение посчитали полезным: v00doo, Bronco, sendersu, mak

Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 10 сентября 2016 18:40 · Поправил: Jaa
· Личное сообщение · #18

Nightshade пишет:
https://www.sendspace.com/file/wv0hyl
Проверь. На ольке вообще не знаю как работать будет. У меня сама олька без плагинов стабильно зависает на win10.

работает но не все так гладко
на первой и второй ольке ошибки валятся при отладке темиды например
---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
ОК
---------------------------
---------------------------
ERROR
---------------------------
GetSysCallIndex32 -> sysCallIndex not found
---------------------------
ОК
---------------------------
---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
ОК
---------------------------

Ну, а при отладке некоторых файлов с вмпротом, после F9 олька валится.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 11 сентября 2016 00:42
· Личное сообщение · #19

mrexodia пишет:
I quickly changed it. Now it will put it in a directory called 'memdumps'.

Ок..
Pages are saved, but the interface is in big trouble.
I upload for testing the working set and the script ????

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 12 сентября 2016 07:49
· Личное сообщение · #20

Jaa пишет:
---------------------------
ERROR
---------------------------
GetSysCallIndex32 -> sysCallIndex not found
---------------------------
ОК
---------------------------
---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
ОК
---------------------------

Эти ошибки в части кода, который отвечает за отладку х86 на х86. Я этот код не трогал. Я только запатчил поиск переходника WOW64. Так называемый "Windows 10 SysWowSpecialJmpAddress". Ошибки выше в функах, которые вызываются на x86 платформе. Для этой системы можешь использовать стандартный билд с гитхаба.



Ранг: 17.6 (новичок), 118thx
Активность: 0.02=0.02
Статус: Участник

Создано: 12 сентября 2016 15:42
· Личное сообщение · #21

Bronco feel free to post an issue on http://issues.x64dbg.com




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 12 сентября 2016 16:11
· Личное сообщение · #22

mrexodia пишет:
feel free to post an issue

Ups...There for I will inform you Paliha
Delays in the synchronization script engine with a Qt interface.
Test kit app + script to fill?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 17.6 (новичок), 118thx
Активность: 0.02=0.02
Статус: Участник

Создано: 14 сентября 2016 11:26
· Личное сообщение · #23

Bronco yes, just enough information to reproduce the bug.

| Сообщение посчитали полезным: Bronco

Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 15 сентября 2016 12:06 · Поправил: oldman
· Личное сообщение · #24

mrexodia

Hello, is there any way to speed up script execution? Script is very simple:

Code:
  1. step:
  2. esti
  3. cmp rax, 0000000077AA0000
  4. jne step
  5. log "Found, rip={p:rip}"
  6. pause


Its run about 1000 events/sec. I've tried to use "guiupdatedisable" command, gui update was disabled, but script
speed remains the same - about 1000 events/sec.

add. I was using the latest x64dbg snapshot. Thanks in advance.



Ранг: 17.6 (новичок), 118thx
Активность: 0.02=0.02
Статус: Участник

Создано: 16 сентября 2016 02:17
· Личное сообщение · #25

@oldmap You shouldn't use a script for that, use conditional tracing commands (http://help.x64dbg.com/en/latest/commands/debug-control/TraceIntoConditional.html and http://help.x64dbg.com/en/latest/introduction/Expressions.html):

TraceIntoConditional rax==0000000077AA0000

| Сообщение посчитали полезным: oldman

Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 16 сентября 2016 02:41
· Личное сообщение · #26

mrexodia пишет:
TraceIntoConditional rax==0000000077AA0000


Thanks alot, tracing speed is around 10000 events now. I'll read manual more thoroughly next time



Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 22 сентября 2016 02:56
· Личное сообщение · #27

@mrexodia

Hello, is there any chance to speed up execution of conditional tracing up to 2-3x times? I've noticed that
cpu load during TraceIntoConditional rax==00000000327678 is very low, according to task manager, x64dbg used
like 15-20% of cpu time and traced application was used like 5-7%, which gives us about 25-30% total cpu load. Is
it possible to make x64dbg use like 75-95% cpu during tracing to speed up process 2-3x times. Thanks.



Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

Создано: 23 сентября 2016 12:24
· Личное сообщение · #28

mrexodia
Thanks for the new script engine!
Now it works very fast.
Is now possible to add animation of script execution like in Olly (optional)?



Ранг: 17.6 (новичок), 118thx
Активность: 0.02=0.02
Статус: Участник

Создано: 29 сентября 2016 17:05
· Личное сообщение · #29

oldman no, tracing is limited by WaitForDebugEvent and ContinueDebugEvent at some point so without emulation its not possible to make it faster

Tyrus there are options for 'animate into' and 'animate over' or 'animate command'

| Сообщение посчитали полезным: Tyrus, oldman

Ранг: 80.6 (постоянный), 194thx
Активность: 0.10.04
Статус: Участник

Создано: 03 декабря 2016 18:21 · Поправил: v00doo
· Личное сообщение · #30

Сбилдил сцилу от 18.11.2016:
http://ftpportal.tk/PainteR/exelab/ScyllaHide_2016-11-18.zip

В NtApiCollection инишку добавил последний билд 10.

Неплохой плаг xAnalyzer:
https://github.com/ThunderCls/xAnalyzer
Но есть одно большое НО, как мы выяснили с Bronco, он вешает отладчик:
http://ftpportal.tk/PainteR/exelab/fail.png
Не дебажил еще, кто знает на чей стороне проблема

| Сообщение посчитали полезным: mak, ajax, Bronco


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 05 декабря 2016 08:57 · Поправил: Nightshade
· Личное сообщение · #31

Scylla самая свежая всегда собирается на сайте авторов
Сейчас это ScyllaHide_2016-20-11_22-02
--> Link <--
Зачем ее самому билдить?

| Сообщение посчитали полезным: parfetka, Jaa
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 22 . 23 . >>
 eXeL@B —› Софт, инструменты —› x64dbg отладчик
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати