Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

может это то что Vamit ищет?
А что я ищу? Мне нужен норм дебагер, чтоб можно было видеть развернутый код после отработки протекторов и распаковки имиджа, возможность создания его дампа с восстановлением импорта, с поддержкой плагинов и чтоб всё это работало на Вин10. Ага, ещё и поддержку х64 хочу. Вот и всего-то))

r99
Это не то, чтоб что-то мигрировать его необходимо сначала получить. Там миграция осуществляется на основе дампов, а тут (в Ольке 2) их даже и не видно...

-----
Everything is relative...

| Сообщение посчитали полезным:

утром в течении часа было три билда
но эти обновы по ходу со сцилкой звязаны

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

ScyllaHide_2017-03-03_15-29
PebHeapFlags = 1, In the application exception

Error at the loader stage, before this was not
win10x64
============
пофиксили раскодировку указателей, теперь и по скрипту и в multiasm_x64dbg, вместо [rip+/-distance], получаем указатель.
добавили отображение текущей информации в окне скрипта.
и обещали изменить findasm для стандартного поиска без окна ссылок, и добавить findasmall
============
пинаю диа, но пока безрезультатно. кто за то чтобы в окне дампа были табы для лога и скрипта подключайтесь.
думал плагином, но тут всё в динамике создаётся,+кьютвиджеты, с этими пока не знаком.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

начиная со середины января билды валятся на случайных файлах:
http://www.yourfilelink.com/get.php?fid=1333046
пасс:123456

mrexodia
файл jajc.exe - это клиент джабер: http://jajc.jrudevels.org/action=1
запускал на Win_7/x64, (сам файл jajc.exe - х32). Что значит: "malformed export directory" и "Workaround is implemented"? DIE пишет: "UPX(3.91)[NRV,brute], Borland Delphi(-)[-]" - ничего необычного. Более старые версии версии (2016 года) его открывают, как отдельный файл, так и в составе программы.

| Сообщение посчитали полезным:

parfetka пишет:
starting from mid-January builds fall on random files

jajc.exe has a malformed export directory, crashes in GetProcAddress. Workaround is implemented. Also some recent updates to the log view (much faster now).

| Сообщение посчитали полезным:

parfetka пишет:
mrexodia
file jajc.exe - a client Jaber: http://jajc.jrudevels.org/ ? index.php action = 1
runs on Win_7 / x64, (he jajc.exe file - x32). What does it mean: "malformed export directory" and "Workaround is implemented"? DIE wrote: "UPX (3.91) [NRV , brute], Borland Delphi (-) [-]" - nothing unusual. Older versions Version (2016) it is opened as a separate file, and as part of the program.

https://i.imgur.com/I6dGUvT.png

| Сообщение посчитали полезным:

mrexodia
я надеюсь, вы что-нибудь придумаете

https://imgur.com/a/E93gS

| Сообщение посчитали полезным:

I have nothing to fix parfetka. The Windows API (GetProcAddress) is where it crashes.

| Сообщение посчитали полезным:

"The Windows API (GetProcAddress) is where it crashes" - это я понимаю.
Я не понимаю, почему версия от 9.01.17г и ранее работают нормально (без плагинов) - открывают файл на OEP и трейсят, а версия от 10.01.17г и более поздние падают?

| Сообщение посчитали полезным:

Just checked Parfetka, the binary you sent me us UPX and the export table is only extracted after it is unpacked. If you run upx -d jajc.exe everything works good.

| Сообщение посчитали полезным:

Подскажите, как в окне CPU переключаться на желаемый модуль?

| Сообщение посчитали полезным:

карта памяти или табшит symbols

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: esa_r

ctrl+g -> "ntdll:entry"

| Сообщение посчитали полезным:

mrexodia, с этой понятно
Gui::Disassembly::SelectionSet(start, end);
с этой так же понятно
SELECTIONDATA select;
GuiSelectionGet(GUI_DISASSEMBLY, &select);
duint addr = (ULONGLONG)select.start;
duint size = (ULONGLONG)select.end - (ULONGLONG)select.start;
но для чего нужна Gui::Disassembly::SelectionGet(addr, end); ?
в описании ничего нет.
и что там с обещанной findasm?
как частный случай имеем более 40 000 испорченных указателей в таблице init, а в секции кода не больше одного джампа с той же конечной дистанцией. До какой сотни табшитов в окне реф отладчик не свалиться?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

кажется баг
оригинал

DbgAssembleAt(new_addr, currentdata.instruction);
результат

в итоге, ниже листинг ломается.
тыкнул на всяк случай

вышло больше

LEA R15, QWORD PTR DS:[R15 - 8] - тут как бы понятно, зловред Блаукович юзает хитрый дизасм длин, то с "XOR REG_WORD, FF...."явно бокарез.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

when loading the database, April 29th version. Database from previous versions, if you delete it, then the new database is loaded normally



XAnalyzer.dp64 no longer defines a function or api call

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
XAnalyzer.dp64 no longer defines a function or api call
так опенсорс, можно и подебажить.
неплохой плуг, но с жейсоном у отладчика борода, если после анализа, база данных от файла большая, он может и зависнуть на старте.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco Gui::Disassembly::SelectionGet will just do the same as GuiSelectionGet(GUI_DISASSEMBLY, ..) but this is because the Script api is used by different type of plugins (mostly it's meant for embedding python/lua in x64dbg), you can see some development at: https://github.com/x64dbg/x64dbgpy/blob/pybind11/scriptapi/scriptapi.cpp#L100

mak the crash should be fixed, your old databases will load fine again.

| Сообщение посчитали полезным:

А есть ли функционал обновить "Memory Map"?
Скажем малварь инжектит свой dll/shellcode в процесс под xdbg, а в memory map его нет. Если же аттачить после инжекта, то он есть.
Можно модули как нибудь live обновить?

Litte bug:
On x64 Windows 10 Enterprise Version 1703
With ScyllaHide's only one option set: NtSetInformationProcess
Attaching to a x86 process produces two error messages, same as on page 7 in this thread:

---------------------------
Distorm ERROR
---------------------------
Distorm opcode no I_MOV
---------------------------
OK
---------------------------


---------------------------
ERROR
---------------------------
GetSysCallIndex32 -> sysCallIndex not found
---------------------------
OK
---------------------------

Maybe structs changed in Win10 and ScyllaHide doesnt know it yet.
edit
Page 5 has the reason, yeah...

Добавлено спустя 3 часа 31 минуту
Hardware Breakpoint stepping not supported?

| Сообщение посчитали полезным:

hash87szf ScyllaHide has been updated for Windows 10, see https://github.com/x64dbg/ScyllaHide/releases

| Сообщение посчитали полезным: Jaa, v00doo, hash87szf, mak

If particularly smart running debugees escape xdbg and close themselves, than xdbg is deadlocked desperately waiting for something. Might be a good idea to check if the debugee process still exists and not wait for something to signal.


| Сообщение посчитали полезным:

mrexodia

The choice of colors seems to be broken?!



-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Кто не в курсе, здесь можно скачать последний ПДФ с документацией по отладчику - --> Link <-- Линк можно было бы добавить в шапку ...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Никто не подскажет, есть ли в этом отладчике возможность работы со своими исходниками на C, C++? Если есть, то куда копировать исходники и файлы символов (PDB) и как потом запустить сей процесс? Заранее спасибо.

P.S. Мануал, видимо, в данный момент самое слабое звено у x64dbg/x32dbg. В гугле тоже ничего не нашел.

| Сообщение посчитали полезным:

dma пишет:
Никто не подскажет, есть ли в этом отладчике возможность работы со своими исходниками на C, C++? Если есть, то куда копировать исходники и файлы символов (PDB) и как потом запустить сей процесс? Заранее спасибо.

P.S. Мануал, видимо, в данный момент самое слабое звено у x64dbg/x32dbg. В гугле тоже ничего не нашел.
Можно, он показывает номера строк, как комментарий к ассемблерному коду.

| Сообщение посчитали полезным:

deniskore пишет:
>> Можно, он показывает номера строк, как комментарий к ассемблерному коду.

deniskore, извиняюсь за занудство, если можно поподробней: куда(в какие папки) какие файлы(cpp, pdb ...) копировать, чтобы получить результат. Чтобы точно знать, что вот так должно работать. А то может у меня какой-нибудь глюк у Visual Studio при компиляции exe-файла?

| Сообщение посчитали полезным:

dma пишет:
куда(в какие папки) какие файлы(cpp, pdb ...) копировать, чтобы получить результат.
По-моему никуда ничего копировать не надо. Если в VS взведено пихание отладочной информации (а-ля Debug профиль), то дебагер автоматом должен подгрузить и подставить. Единственная проблема - всё это страшно сильно ТОРМОЗИИИИТ!

| Сообщение посчитали полезным:

dma отладчик сам подхватывает, если всё лежит в одной директории, имя не должно отличаться, если вы через батник поменяли имя конечно, может Вы забыли поставить галочку в настройках - "отладка соурс кода" ...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: dma

пишет:mak
>> dma отладчик сам подхватывает, если всё лежит в одной директории

ELF_7719116, mak, спасибо, что откликнулись. mak, а директория имеется в виду debug Visual Studio или та где exe-файл x64dbg/x32dbg?

Добавлено спустя 49 минут
Вопрос снимается - разобрался. Как и предпологал mak, проблема была в измененном имени exe-файла, и в том, что не знал куда "приткнуть" PDB-файл. Еще раз всем спасибо - особенно mak-у .

| Сообщение посчитали полезным: