Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

C sendspace.com у меня уже как 2 месяца ничего не качается , с NtApiTool вроде решилось .. я ждал примерно 11 минут для каждой системы, потом появились сум файл и неполный пдб, при этом сама ида качает нормально пдб, но сервера я не сравнивал. Стоит посмотреть внутрь NtApiTool, чтобы уже разобраться навсегда, что там внутри происходит) .. Символы я закачал отдельно пакетом от Майкрософт.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Microsoft symbol servers have issues: https://social.msdn.microsoft.com/Forums/en-US/35a31403-24f5-4552-8e3c-4c65f2b98c17/microsoft-symbol-server-is-slowbroken?forum=windbg

| Сообщение посчитали полезным: v00doo, mak

mrexodia
please update Scyllahide under the new win10
thanks

| Сообщение посчитали полезным:

Jaa пишет:
please update Scyllahide under the new win10
сорян что влажу, но скилла по дефолту в снапшоте идет, для ольки и др. надо линковать. Фиксы не глобальные.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Jaa, там же вроде как под 13 студию бренч
https://bitbucket.org/NtQuery/scyllahide/src/8665da888a65e3c7185f95a05ea51d4834d22b77/?at=vs13

| Сообщение посчитали полезным:

--> Link <--????????

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: Jaa

Bronco
v00doo
ClockMan
За обнову спасибо, но ничего не поменяло, ошибки при запуски ольки что первой что второй
---------------------------
Error
---------------------------
Windows 10 SysWowSpecialJmpAddress was not found!
---------------------------
ОК
---------------------------

---------------------------
ERROR
---------------------------
Unknown syscall structure!
---------------------------
ОК
---------------------------

| Сообщение посчитали полезным:

Почитай пару страниц назад, что я писал
https://exelab.ru/f/action=vthread&forum=3&topic=22396&page=4#13

| Сообщение посчитали полезным:

Nightshade
Я читал. Решили эту проблему или ждете обнову?

| Сообщение посчитали полезным:

Jaa update it yourself, it is open source. See https://github.com/x64dbg/ScyllaHide

| Сообщение посчитали полезным:

https://www.sendspace.com/file/20f9tr
Возьми с полки пирожок. Пересобрал под новый стаб вин10.

| Сообщение посчитали полезным:

Nightshade
мне б под ольку 1и2, ну и x64dbg
32 битный xdbg без надобности

| Сообщение посчитали полезным:

https://www.sendspace.com/file/wv0hyl
Проверь. На ольке вообще не знаю как работать будет. У меня сама олька без плагинов стабильно зависает на win10.
А для х64 xdbg у тебя вообще не должна выскакивать ошибка SysWowSpecialJmpAddress was not found!
Она появляется только когда отлаживаешь х86 код на Windows 10 x64.
Так что используй билд с гитхаба.

| Сообщение посчитали полезным: Jaa

mrexodia пишет:
update it yourself, it is open source
Что-то перемудрили, файлы под денуво не грузит.
Files protected Denuvo is not loaded in the debugger.
mrexodia пишет:
file memdump_pid_addr_size.bin in the x64dbg directory
Pages is a lot, please additionally select directory where to save them.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

The current version of the debugger contains errors, the files are not loaded due to an error in the parser of databases. If the file was already once launched in the debugger, and then again and patched or changed in other ways, the file restarts lead to lockups and crashes. To run the file again, you need to remove all the database with the same name, or just rename it.


07b6_09.09.2016_EXELAB.rU.tgz - Image.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Nightshade: please share the source code of your changes as per GPLv3 license.

Bronco: I quickly changed it. Now it will put it in a directory called 'memdumps'.

mak: Deadlock with auto-disabled breakpoints was fixed, update x64dbg. If you don't want to disable them on mismatch there is an option.

| Сообщение посчитали полезным: v00doo, Bronco, sendersu, mak

Nightshade пишет:
https://www.sendspace.com/file/wv0hyl
Проверь. На ольке вообще не знаю как работать будет. У меня сама олька без плагинов стабильно зависает на win10.
работает но не все так гладко
на первой и второй ольке ошибки валятся при отладке темиды например
---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
ОК
---------------------------
---------------------------
ERROR
---------------------------
GetSysCallIndex32 -> sysCallIndex not found
---------------------------
ОК
---------------------------
---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
ОК
---------------------------

Ну, а при отладке некоторых файлов с вмпротом, после F9 олька валится.

| Сообщение посчитали полезным:

mrexodia пишет:
I quickly changed it. Now it will put it in a directory called 'memdumps'.
Ок..
Pages are saved, but the interface is in big trouble.
I upload for testing the working set and the script ????

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Jaa пишет:
---------------------------
ERROR
---------------------------
GetSysCallIndex32 -> sysCallIndex not found
---------------------------
ОК
---------------------------
---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
ОК
---------------------------
Эти ошибки в части кода, который отвечает за отладку х86 на х86. Я этот код не трогал. Я только запатчил поиск переходника WOW64. Так называемый "Windows 10 SysWowSpecialJmpAddress". Ошибки выше в функах, которые вызываются на x86 платформе. Для этой системы можешь использовать стандартный билд с гитхаба.

| Сообщение посчитали полезным:

Bronco feel free to post an issue on http://issues.x64dbg.com

| Сообщение посчитали полезным:

mrexodia пишет:
feel free to post an issue
Ups...There for I will inform you Paliha
Delays in the synchronization script engine with a Qt interface.
Test kit app + script to fill?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco yes, just enough information to reproduce the bug.

| Сообщение посчитали полезным: Bronco

mrexodia

Hello, is there any way to speed up script execution? Script is very simple:



Its run about 1000 events/sec. I've tried to use "guiupdatedisable" command, gui update was disabled, but script
speed remains the same - about 1000 events/sec.

add. I was using the latest x64dbg snapshot. Thanks in advance.

| Сообщение посчитали полезным:

@oldmap You shouldn't use a script for that, use conditional tracing commands (http://help.x64dbg.com/en/latest/commands/debug-control/TraceIntoConditional.html and http://help.x64dbg.com/en/latest/introduction/Expressions.html):

TraceIntoConditional rax==0000000077AA0000

| Сообщение посчитали полезным: oldman

mrexodia пишет:
TraceIntoConditional rax==0000000077AA0000

Thanks alot, tracing speed is around 10000 events now. I'll read manual more thoroughly next time

| Сообщение посчитали полезным:

@mrexodia

Hello, is there any chance to speed up execution of conditional tracing up to 2-3x times? I've noticed that
cpu load during TraceIntoConditional rax==00000000327678 is very low, according to task manager, x64dbg used
like 15-20% of cpu time and traced application was used like 5-7%, which gives us about 25-30% total cpu load. Is
it possible to make x64dbg use like 75-95% cpu during tracing to speed up process 2-3x times. Thanks.

| Сообщение посчитали полезным:

mrexodia
Thanks for the new script engine!
Now it works very fast.
Is now possible to add animation of script execution like in Olly (optional)?

| Сообщение посчитали полезным:

oldman no, tracing is limited by WaitForDebugEvent and ContinueDebugEvent at some point so without emulation its not possible to make it faster

Tyrus there are options for 'animate into' and 'animate over' or 'animate command'

| Сообщение посчитали полезным: Tyrus, oldman

Сбилдил сцилу от 18.11.2016:
http://ftpportal.tk/PainteR/exelab/ScyllaHide_2016-11-18.zip

В NtApiCollection инишку добавил последний билд 10.

Неплохой плаг xAnalyzer:
https://github.com/ThunderCls/xAnalyzer
Но есть одно большое НО, как мы выяснили с Bronco, он вешает отладчик:
http://ftpportal.tk/PainteR/exelab/fail.png
Не дебажил еще, кто знает на чей стороне проблема

| Сообщение посчитали полезным: mak, ajax, Bronco

Scylla самая свежая всегда собирается на сайте авторов
Сейчас это ScyllaHide_2016-20-11_22-02
--> Link <--
Зачем ее самому билдить?

| Сообщение посчитали полезным: parfetka, Jaa