Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

Эта сцилла имеет весьма сомнительный функционал, там фильтры юм. Например часто используется копия проекции нтдлл, как в виксах, так и в разных протекторах и такое сабж обработать принципиально не может.

-----
vx

| Сообщение посчитали полезным:

difexacaw, сделай лучше, в чем проблема?

Кстати, народ, никто плагин не запилил для map-файлов?

| Сообщение посчитали полезным:

Apocalypse

Лучше слой эмуляции сделать для олли, что бы стандартный интерфейс изменить(отказаться от дебаг механизма и пр.) и использовать более актуальные механизмы. Теоретически это не сложно.

-----
vx

| Сообщение посчитали полезным:

Apocalypse пишет:
Кстати, народ, никто плагин не запилил для map-файлов?
Плагин SwissArmyKnife позволяет импортировать *.sig, *.dif, *.map файлы.

| Сообщение посчитали полезным: Gideon Vi, Apocalypse

Nightshade пишет:
Scylla самая свежая всегда собирается на сайте авторов
Сейчас это ScyllaHide_2016-20-11_22-02
Это гит x64dbg, и как писал exodia, то он не имеет отношения к плагу как таковому (поправьте если не так) и в прошлый раз с косяком он отправлял на реп автора, а сам он, как я понимаю прост клонит\мержит и точно так же билдит (может еще какие изменения есть, судя по дате), потому я тяну у NtQuery и совсем не вижу проблемы нажать две кнопки.

| Сообщение посчитали полезным:

Нет ли ещё в природе плагина, по аналогии с Олькой (в дампе Backup-Create/Update/etc), для создания бэкапов участков памяти и дальнейшего отображения изменений?

| Сообщение посчитали полезным:

difexacaw пишет:
Лучше слой эмуляции сделать для олли, что бы стандартный интерфейс изменить(отказаться от дебаг механизма и пр.) и использовать более актуальные механизмы. Теоретически это не сложно.
Пробовал кстати подобное сделать. Решил использовать клиент-серверную архитектуру.
Моя dll в олли хукала CreateProcess, WaitForDebugEvent, ContinueDebugEvent, GetThreadContext ну и соответственно эмулировала необходимые для работы данные.
В "отлаживаемый" процесс так же внедрял dll, которая как раз управляла им и перекидывала данные в олли.
Но из-за кривизны моих рук через некоторое время слетала синхронизация между этими dll и они начинали обе ждать события друг от друга( В общем так и не допилил

| Сообщение посчитали полезным: difexacaw

Это годная идея; так например есть качественные поделки типо сайда, но они не юзабельны про причине отсутствия гуй интерфейса(овощ не может понять как что то сделать, ибо в меню не видит). Планируется допилить "эмулятор" до нового года(для публикации в зайне), это очень сильная поделка(на разработку базовых алго ушёл примерно год, но часть ранее обкатана), можно автоматикой будет решить почти все задачи здесь.

-----
vx

| Сообщение посчитали полезным:

кто в теме, лог по скрипту можно включать_отключать?
в меню лога есть, но это не подходит, мне нужно сохранять только мои записи.
DisableLog/EnableLog
январские снапшоты просто звиздец, то буфер обрезает, то в нирвану уходит, и всё на простом и на ровном месте.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: январские снапшоты просто звиздец, то буфер обрезает, то в нирвану уходит, и всё на простом и на ровном месте.

все еще хуже, даже список нормально не работает (gui), ставлю bp на функцию и ставится хз где, index поля рандомно выбирается, раз через десять проскакивает ep и стартует все приложение или же останавливается, но в каких то ебенях, подгружаемые модули не всегда отображаются в памяти.. и списку нет конца. как таким можно пользоваться, хз. пришлось ida заводить.

| Сообщение посчитали полезным: difexacaw

neshta пишет:
все еще хуже
Нет. Все еще хуже чем хуже.
Багрепортил на гитхабе - все закрывает. То со словами - "байдезигн", то вобще без ответа.

| Сообщение посчитали полезным:

ну если оно так и есть, типичный пример говнокода когда уже баги нельзя просто подправить, нужно чуть больше чем весь проект переписывать с нуля

Добавлено спустя 1 минуту
с другой стороны чел набил руку на отладчике, понял как делать правильно
ждем x64 dbg2 )))

| Сообщение посчитали полезным:

reversecode пишет:
понял как делать правильно

либо уйдёт с опенсорс в коммерц...

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Перед Новым Годом в проекте обновилось пару движков
--> Link <--
--> Link <--
возможно с этим как-то связан текущий дискомфорт.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: Перед Новым Годом в проекте обновилось пару движков

точно нет, это как раз то немногое, что там стабильно. сам активно пользую эти движки и тоже обновлялся, полет нормальный.
проблема в отладочном движке, из PoC созданного для BH сделали отладчик, а PoC никто не старается делать работоспособным, к этому можно добавить кривую архитектуру, вплоть до того, что даже gui багодром. x64 IDA решает, альтернативы на данный момент нет.

| Сообщение посчитали полезным:

в IDA вообще странная отладка
как то для тестов игрался с олькой и идой
в ольке два часа какую то прогу крутил вертел, по итогу деатачнулся и прога дальше нормально продолжала работать
а в иде 15 мин крутил, пока не выскочил нарушение доступа к памяти в проге, по итогу ида закрыла ее
епт. я ж ничего в иде не менял, сама что ли там память начала коцать

так что не смотря как я люблю иду в статик анализе с рейсами, как дебагер она для меня стремная

| Сообщение посчитали полезным: daFix, v00doo, DenCoder

reversecode пишет: пока не выскочил нарушение доступа к памяти в проге

возможно из за какого то кривого плагина, несколько лет отлаживая в IDA таких проблем не возникало, тут еще многое зависит от отладочного ядра, их как бы много, разной степени кривизны, windbg работает вполне стабильно даже на довольно кривых семплах.

reversecode пишет: как дебагер она для меня стремная

не спорю, даже с точки зрения эстетики и чувства прекрасного она мягко говоря страшная, но на данный момент альтернативы нет, все остальное вообще нерабочие, а анпачить\дебажить x64 хоть и редко, но приходится.

| Сообщение посчитали полезным:

не ну я тоже иду иногда запускаю в отладчике для мелких дебагов то цтф просят порешать, то дамп какой то снять
но при том тестировании я спецом аттачнулся к какой то тяжелой проге где еще и куте либов было в довесок
игрался всякими брейк , континуе и доигрался, а на ольке нормально, может конечно так совпало... но помнится это было не в первый раз, лет 5 назад было что то похожее, а ида надо сказать всегда последняя новенькая

| Сообщение посчитали полезным:

reversecode
5.5 gui весьма стабильна. это с qt пачки глюков

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

я не про гуи ида, я о том что приложение которое я тестил в отладчике было с гуи куте

| Сообщение посчитали полезным:

reversecode пишет:
в ольке два часа какую то прогу крутил вертел, по итогу деатачнулся и прога дальше нормально продолжала работать
один десятая или вторая?

| Сообщение посчитали полезным:

если быть совсем точным ollydbg 201e

| Сообщение посчитали полезным:

reversecode пишет: может конечно так совпало

скорее всего, возможно даже в самом софте что то не понравилось анализатору, у меня в статике часто выплевывает стометровые краш дампы. где то в 2006-2007 написал ильфаку багрепорт, а тот утырок первым делом начал требовать ключ, а после выяснения, что его нет, эта свинота послала меня на х*й, причем в прямом смысле и именно туда. репортить что то нет смысла. ollydbg хороший отладчик, но не x64, да и тоже вполне падает, причем куда чаще чем раз в пять лет. есть еще qt gui для windbg, но он используется внутри команды запилившей его и нам с вами его никто не даст, остается только ida, поскольку сабж совсем нерабочий, на его фоне даже ida выглядит вершиной человеческого гения.

| Сообщение посчитали полезным: difexacaw

вот блин,.обновился --> ScyllaHide<--, и тишина в топе.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mak

neshta

> где то в 2006-2007 написал ильфаку багрепорт, а тот утырок первым делом начал требовать ключ, а после выяснения, что его нет, эта свинота послала меня на х*й, причем в прямом смысле и именно туда.

Это комерс тулз, дерьмового качества. Пичально конечно если его автор такой.

Bronco

Посмотрим спс.

ps у меня он был давно загружен, значит я это смотрел. Это не новое.

Добавлено спустя 15 минут
neshta

Возможно для 64 ида это альтернатива, что тоже сомнительно. На 32 ида не является актуальной, это кривой и тормозной тулз, я до сих пор открываю ядро для дизасма олли(нужно только загрузить pdb). Это занимает минуты, в отличие от часами длящегося анализа через иду. Причём интерфейс олли ни в какое сравнение с идой не идёт.
Смотрите для примера скрины нтос в публикации --> Link <-- там не юзалась ида.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: если его автор такой.

он такой и я не единственный кто его таким считает.

difexacaw пишет: Возможно для 64 ида это альтернатива, что тоже сомнительно

на паблике все равно лучшего нет, остальное совсем нерабочие.

difexacaw пишет: Это занимает минуты, в отличие от часами длящегося анализа через иду

всякую мелочь я тоже смотрю в обычном дезассемблере, но когда приходится разгребать кучу разношерстного кода с кучей разных технологий, olly в данном случае плохой вариант.
недавно ресерчил одно большую программу (один exe over 150mb), там целая эволюция компиляторов прослеживается, а вишенками на торте система плагинов на java и dotnet компоненты подключаются через mono. в olly не стал бы открывать, поскольку требовалось восстановить немаленький кусок кода (все работу с базой и интерфейс плагинов), в таких случаях IDA рулит, а еще бывают странные камни, типа arm которые olly совсем не понимает (это не считая всякую экзотику) и с плагинами у olly не очень, большая часть писана киндерами с соответствующим функционалом.

| Сообщение посчитали полезным:

neshta

> в таких случаях IDA рулит, а еще бывают странные камни

В таких случаях не инструмент рулит, а скул. Масштаб знаний, это общее понимание. Каким бы удобным не был бы инструмент, он ничем не поможет человеку, который из за знаний с ним работать не может. К примеру можно знать асм(даже на моём уровне) но это не поможет понять алгос на нём реализованный. Посему это не фундаментальное знание.

Даже иногда из за сложности алгосов приходится задумываться над языком реализации. Вот не думал что свой же прожект нужно будет ресерчить, ибо из за сложности реализации в целом понимание исчезает спустя некоторое время.

-----
vx

| Сообщение посчитали полезным: neshta

difexacaw пишет: В таких случаях не инструмент рулит, а скул

инструмент тоже решает, вокруг него собралось нормальное сообщество и там неплохой интерфейс для плагинов (решающий фактор), остальное либо не существенно или же откровенно убого.

difexacaw пишет: но это не поможет понять алгос на нём реализованный

естественно, поэтому и на вопросы ньюфагов "что делать и как жить", пишу, чтобы изучали основы, систему, алгоритмы, а не какой то очередной инструмент который рано или поздно уйдет в историю, тем более без этих знаний все равно ничего хорошего не сделать даже в супер-дупер ida 2020.

difexacaw пишет: ибо из за сложности реализации в целом понимание исчезает спустя некоторое время

я когда то из за этой причины ушел на perl, на нем пилил концепты с кодогенераторами, но тоже вариант так себе и в последствии ушел на python, есть нормальные генераторы asm кода, llvm с прочими вариантами промежуточного кода, реализации графов с научными инструментами, статистика, оптимизаторы, etc.
не хватает только адекватного интерфейса к ast самого python'a, писать на нем dsl тот еще ад, в это ruby в разы лучше. написал с тысячу строк читаемого кода и который таким остается даже через год, а на выхлопе хоть asm, хоть c или что то странное.

| Сообщение посчитали полезным:

прикольная штуковина, построение графов. но сразу же вопрос.
Настройки все дефолтные и без изменений, или всё таки как-то можно?
Мне к примеру не совсем радует скролить вертикальные столбцы, места на экране много, хотцо и в горизонтальный ряд..
да и не плохо бы там также прикрутить режим подсветки.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

http://low-priority.appspot.com/ollymigrate/
кто-нить пробовал ?
может это то что Vamit ищет?

| Сообщение посчитали полезным: