Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - --> Link <--

Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory






| Сообщение посчитали полезным: ff0h, Gideon Vi, nick8606, Artem_N, JKornev, DimitarSerg, daFix, Rio, n0x90, DenCoder, Maximus, ELF_7719116, exprxp, Error13Tracer, Gerpes, SDFnik, VanHelsing, marius, jangle, hello, Bronco, mushr00m, HandMill, Johnatalbi, kassane, BAHEK, zNob, mkdev, Haoose-GP, HAOSov, mr qubo, Tyrus, kurorolucifer, Relax_, esa_r, Styx, Creckerhack, RootKey, RoKZaR, CKAP, Cigan, tRuNKator, Wargrinder, morgot, BiteMoon, mak, Illuzion

mrexodia

Windows XP SP3


--> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak Just tried on Windows XP x86 SP3 with snapshot_2017-06-21_18-53.zip and it appears to work fine...

| Сообщение посчитали полезным: mak

mrexodia
In some case, when i've found in references some needed string or command, i can't go to the offset of references on double click of mouse..

| Сообщение посчитали полезным:

mrexodia
Look once more please this question
--> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Как игрушка - поделка годная. Для серьёзных задач как и всякая игрушка не годится. Интерфейс пленный и корявый.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Как игрушка - поделка годная. Для серьёзных задач как и всякая игрушка не годится. Интерфейс пленный и корявый.
И всё, это весь конструктив..

| Сообщение посчитали полезным:

sefkrd

А какой конструктив вам нужен, железячная трассировка уже не актуальна. Она обнаруживается элементарно, по этому никакое приложение с защитой не может быть трассировано без ручной обработки напильником.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Как игрушка - поделка годная. Для серьёзных задач как и всякая игрушка не годится. Интерфейс пленный и корявый.
Ты прав как всегда ждём от тебя нормальный 64 битный дебаггер

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: ELF_7719116, DimitarSerg, zNob

ClockMan

Нормальный 64 отладчик это виндбг. И что такое отладчик - корявый гуй и годный дизасм. Это собирается скриптами и нет разницы в архитектуре, так к примеру bea может дизасмить 64. Принципиально нет разницы в архитектуре.
Другое дело само отладочное ядро. Если вы используете для трассировки TF - то такой отладчик уже давно не актуален. Так как им вы никакое приложение с защитой не отладите. Сейчас всё делается через визоры/виртуализацию, а не отладку через древние механизмы лаб работ.

-----
vx

| Сообщение посчитали полезным:

чутка не въезжаю в сабж. решил вст поковырять. нашёл нужные мне строки, поставил бряки, гружу савихост и нифига не происходит, как переключиться на длл не нашёл.
есть мнение, что делаю что-то не так, как привык.

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

difexacaw пишет:
Сейчас всё делается через визоры/виртуализацию, а не отладку
Вот только чтобы снять защиту от виртуализации все равно зачастую нужен банальный отладчик

| Сообщение посчитали полезным: mak

VOLKOFF

Зачем он нужен ?
Как через отладчик найти выборку данных, строку например - да никак, забудьте уже про отладчик. И какое отношение к этому имеет вирт - никакого, чушь.

-----
vx

| Сообщение посчитали полезным:

sefkrd

Double click will follow in the dump sometimes based on memory protection. Right click -> follow in disassembler will force following in the disassembler.

mak

I think the bug with the color grid should be fixed now.

| Сообщение посчитали полезным:

mrexodia

On the new version without changes, I checked the clean build, everything is fine there. There seems to be a problem in the processing of styles or in the style itself, I use



and

Visual Studio Dark by ThunderCls --> Link <--
with Visual Studio Dark Theme color scheme --> Link <--

I tried other styles, no change. Perhaps this is the error of the CSS file. Its not clear where the error is. Ill take a look ...

P.S. The latest version works really fast for me, what did you change?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mrexodia

In the new version everything works fine (Jul 08). If you subsequently change several styles, then there is a possibility that the new style is not activated, or only partially. The reason is the x64dbg.ini file, there seems to be a leak in this file, old settings affect new settings. The solution was for me to delete the configuration file and re-applying the new style. Not a critical error, but an improvement for gui

My thanks to you and your team for the wonderful job you did on the Project.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mrexodia

Commits on Sep 4, 2017
The debugger does not respond after trying to close the debugging, on both versions, 64 bit and 32 bit, execution of plug-in unloading hangs during closing process ... the debugger no longer closes, a second attempt at debugging causes errors, opening a duplicate copy of the debugger leads to a synchronization error ... on the previous version everything was fine.







-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Issue should be fixed now mak...

| Сообщение посчитали полезным: mak

XEDParse assembly this

as:


| Сообщение посчитали полезным:

ELF_7719116 I recommend to use asmjit. It is much better than XEDParse.

| Сообщение посчитали полезным:

mrexodia, can not change the attributes of a page (section)

or

one_right_changed = false????
Through the memory card interface, the attributes change

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Обновление за вчера начинает использовать - Zyan Disassembler Engine (Zydis) ?!

--> Link <--

--> Link <-- много других изменений

P.S. Первые баги, стиль отладчика вновь слетел

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: sefkrd, ELF_7719116

mak пишет:
Первые баги
До сих пор, когда дебажишь exe'шники со прилепленной отладочной информацией (допустим своя прога в Visual Studio) и ставишь точки останова - то при её срабатывании отладчик наглухо вешается секунд на 10. После одупления при трассировке отладочная информация на дисплее может пропадать. Иногда (в последней вроде такого пока не обнаружил) при трассировке отладчик вешается на пару секунд и сразу трассирует штук 20 команд при единожды нажатой кнопке.
Ещё в variables можно было бы вшить по-дефолту $peb, $kuser, $ntdll, $kernel32.
Кстати, а как заставить отладчик отображать дефолтные структуры, типа PE-хидера или PEB, а-ля OllyDbg? (Подгружать через Parse header??)

| Сообщение посчитали полезным:

ELF_7719116 Скрытые ошибки, репортить такое нет смысла, если нельзя повторить вновь. У меня тоже временами бывают необычные ошибки, никак не связанные с защитой программы, по возможности я пытаюсь найти или сделать пример который вызывает ошибку, но не всегда с результатом.

Чтобы улучшить парсинг или устранить зависания можно отправлять ехе с pdb файлом прямо как баг репорт, если конечно есть возможность и софт не закрытый, иначе не пофиксят. С примером можно будет замерить тайминги и найти утечку.

ELF_7719116 пишет:
Кстати, а как заставить отладчик отображать дефолтные структуры, типа PE-хидера или PEB, а-ля OllyDbg? (Подгружать через Parse header??)

Есть такой плагин LabelPEB --> Link <-- пока меня устраивал этот вариант. Точно так же можно сделать и для Пе. Есть же ещё вкладка Struct, где можно загрузить хидер со структурой, но я сам не пробовал ещё этот способ.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: plutos

mak пишет:
Есть такой плагин LabelPEB

У меня после biuld'a в VS 2015 in bin directory 4 файла: LabelPEB.exp, LabelPEB.lib, LabelPEB.pdb, LabelPEB.dp64,
a LabelPEB.dll не видно.
Искал что-то вроде readme, но не нашел.
Что именно класть и куда, чтобы debugger "увидел" этот plugin?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
Клади LabelPEB.dp64 в папку с плагинами для x64.
А вообще, очевидно же: Copy *.dp32 and/or *.dp64 files to x32/x64 plugins directory of x64dbg.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: plutos

mysterio пишет:
очевидно же

оно конечно очевидно, но например scylla.dll находится в другом месте (in ...\x64), а ...\х64\plugins вообще пустой.
положил все куда нужно, но debugger видит только scylla.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

mak пишет:
Есть такой плагин LabelPEB
Поля в структуре имеют разный размер, и лейбы в этом плаге пересекаются. в общем не путёво реализовали.
ProcessMM в фавориты, тулза хоть и дельфовая, но все структурированные разделы процесса, очень грамотно раскладывает.
mak пишет:
Обновление за вчера начинает использовать - Zyan Disassembler Engine (Zydis)
в последнем снапе пока нет, хз чем капстон не угодил.
пока вроде убрали Keystone, хотя либа в депсах лежит

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
ProcessMM в фавориты, тулза хоть и дельфовая, но все структурированные разделы процесса, очень грамотно раскладывает.

Ссылка?! Я случайно потерял собранные утилиты, когда баги ловил =)

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Разобрался со своим вопросом. Помещу разъяснение на тот случай если вдруг у кого будет похожее заблуждение. Это маловероятно, но все же.
Дело в том, что данный plugin проявляет себя не так, как я ожидал.
Как любезно разъяснил мне многоуважаемый МАС:

"После копирования при старте любой программы в листинге появляется комент типа PEB.указатель на поинтер, например когда любая программа стартует, то в рсх будет лежать один из указателей, он будет подписан как пеб адресс, т.е. в листинге теперь любые динамические адерса должны показывать пеб раскодировку при условии, что адрес указывает на пеб. Если щёлкнуть по рсх к примеру и нажать перейти в дамп, то в окне дампа покажется полная раскодировка ПЕБА .. далее можно перейти по структуре и тоже дальше будет раскодировка."

Так что у меня все работало, но я этого не осознавал.

Добавлено спустя 7 часов 39 минут
parfetka пишет:
залейте уже этот плагин на форум! Не у всех же есть студия, чтобы скомпилить..

не нужно мне присылать в "личные сообщения" свои гневные требования: я тебе ничего не должен, дружище. Вот тебе ссылка, качай: https://github.com/x64dbg/LabelPEB/releases (Скажи спасибо МАСу!)

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: parfetka

mak пишет:
Ссылка?!
--> Link <--

| Сообщение посчитали полезным: mak, mkdev, plutos