#ifdef
немного оффтопика, шапка всё таки.
Отладчик набирает потихоньку обороты, базовая платформа достаточно гибкая.
Сам проект опен сорс, как и остальные крос платформенные движки в нём из пользованные.
Неплохой pluginsdk, к сожалению мало описания в help, но по хидерам разобраться довольно не сложно.
Собственно в чём вопрос ?
Парни всё есть, но никто ничего не пишет.
//Для OllyDbg на тутсях целый раздел и с плагинами и с скриптами.
Вот по случаю решил пополнить копилку. Хз что, но пока мутил было интересно.
Рассчитываю, что это даст старт, более практичным обсуждениям и в плане программирования и в плане решения разных задач.
Топик для всех плагинов, которые либо есть, либо будут.
Многие из тех что есть так же опен сорс.
В общем не Грааль конечно, но лудоманить на этом не приветствую.
#else
О плагине !
Из того что в разработке, но частично готово.
Меню отладчика
- Чистим историю открытия приложений, скриптов и командной строки:
Меню отладчика //- Зарегистрировано пока 9 новых команд для скриптового движка.
- RipAsmCode - описание в мсг
- RipAsmInstruction - описание в мсг
- FindAsmInstruction - описание в мсг
- FunctionAsmEnd - описание в мсг
- FunctionLogClear
- FunctionLabelClear
- FunctionScriptAbort
- FunctionFindPointer - описание в мсг
- FunctionGetTime
Меню отладчика
- Параметры Деобфускатора//сохраняются в ини
Меню отладчика
-- Параметры "обхода лапши"//сохраняются в ини
Меню отладчика
-WannabeUIF под обе архитектуры
Меню диззасма:
- Деобфускатор // бетка
- В выделеном листинге перемещаем все нопы вниз.
- Обходим лапшу из jmp&jcc//статик трассировка в выделенную страницу
- Освобождаем память от выделенной страницы, и удаляем все записи в лейбах.
#endif
Под х86 тестировалось инерциально, под х64 пока только на паре тройке семплов..))
Из нерешённого, это кьют_виджеты, идея перетащить табшиты лога и скрипта в окно дампа как то не решается.
И пройтись по элементам дальше хендлов дочерних окон с ClassName Qt5QWindowIcon, пока не получается.
--> Эта <-- тема актуальна, оптимизация по шаблонам(потернам) довольна реальна, но как организовать базу данных для них, пока не решалась.
Линк запостил.
--> от 24 июля 2017<--
Дальше посмотрим, что из этого топа выйдет.
//ахах топ потыхеньку умирает, сколько бы не постил

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mak, zNob, Haoose-GP, v00doo, jinoweb, ClockMan, fasteralex

shellstorm пишет:
Если интересно погонять плагин
ок.shellstorm пишет:
все же пересобрал часть отладчика
респект конечно, но у меня поначалу то же оптимистично всё было, пока не надоело.
чтобы на исузах не толкаться, была мысль, на лябе постить все фиксы в сорцах, но воли не хватило.
shellstorm пишет:
Там просто список апи, никаких интеллектуальных подсказок нет
ну хоть что то есть, в --> этом просто редачь. <--
и вроде в меню прописывается, а на форме тупо всё вешает --> Link <--

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco Отредактируй шапку темы, добавь линки с названиями плагинов для разных систем, 32-64 отдельно =) Тема про плагины, а плагинов наверху нет

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
отредактируй шапку темы
воли мало, будет обнова или пополнение, отредачу.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: но у меня поначалу то же оптимистично всё было

у меня все сломалось, думал еще немного добить, а оно крашнуло и весь проект на*бнулся.
но разобрался с другой штукой. отладчик умеет грузить скрипты при загрузке, нужно кидать скрипт в папку отладчика, где библиотеки и exe, при загрузке исполнит скрипт.

теперь к плагинам, на питоне их тоже можно вполне годно писать, местами даже лучше чем на c\c++.
нужно установить все из этого списка:

python 2.7
Visual C++ for Python
package manager
setuptools
cython compiler
лишним не будет:
cython tutorial
в аттаче приме примитивного плагина.
немного о структуре:
здесь прописываем настройки сборки, имя плагина, иклуды, библиотеки, опции сборки: setup.py
здесь пишем код, по хорошему нужно было еще и pxd создавать, но сойдет и так: install_bp.pyx
здесь код функции на c, сделано намеренно, можно было писать и на пюре питон, но кому сложно сразу с ним разобраться, показан выход, эта функция используется в install_bp.pyx: bridge.c
все, остальное уже смотреть и разбираться.
собирается все батником.

ef66_08.05.2017_EXELAB.rU.tgz - x64dbg_plugins.zip

Добавлено спустя 33 минуты
забыл, в скриптовом движке самого отладчика бага.
скопировать: call и вставить в окно скрипта

отладчик уходит в даун.
непроизвольный запуск программ на него же грешу.

| Сообщение посчитали полезным: Bronco

shellstorm пишет:
у меня все сломалось
сочувствую. но там местами действительно не очень весело.
наиболее качественная запись это отладочная

но она не всегда булку возвращает, местами раньше на мсг уходит. и дальше аут.
далее.
на х64 кейстоун и асмжт при записи увеличивают размер инструкции. пример: mov->movabs
для XEDParse пока критичны 2 опкода,

но двиг XEDParse наоборот уменьшает местами размер инструкции

Multiline Ultimate Assembler хорош тем, что он не ломает саму функцию, независимо от того изменился ли размер инструкции в цикле

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: сочувствую. но там местами действительно не очень весело.

Фигня случается.

Bronco пишет: но она не всегда булку возвращает, местами раньше на мсг уходит.

Там еще какая то из функций форматирования строк не правильно работает, иногда режет команды в собственном скрипте, да и анализатор на них орет, но там такая портянка, не стал забираться в дебри.
Автор кидает указатели, а валидность никто не проверяет и на это тоже анализатор косится в некоторых местах.
Рановато скрипты внесли в сам двиг, там с ними много чего завязано, ну и 100500 движков незачем было тянуть пока хотя бы один не довели до ума. Падает на каждый чих или зависает так, что лучше бы падало.

| Сообщение посчитали полезным:

shellstorm пишет:
Рановато скрипты внесли в сам двиг,
вроде в начале было отдельно, титан_скрипт, или как то так,
с качеством разобрались, но при таких подходах, на больших объёмах, это всё долго.
надо менять концепт.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: с качеством разобрались, но при таких подходах, на больших объёмах, это всё долго.

Это то понятно, что оно когда то будет, но хочется же прямо сейчас. )

| Сообщение посчитали полезным:

shellstorm пишет:
но хочется же прямо сейчас. )
если я правильно понял, то с этим проблем нет. немного поправил_протестил_и_уверен.
чуть позже залью.
хотел на форму кое что закинуть, а то при выделении страницы много окон, но что то в студии поломалось, не загружает файл *.rc, и обновляться не хочет, и с переустановкой траблы.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: не загружает файл *.rc, и обновляться не хочет, и с переустановкой траблы.

Тоже такая фигня случалось, пришлось реестр чистить и заново устанавливать, repair нифига не ремонтировало.
Тут о сигнатурах немного думал, можно взять ssdeep и немного его допилить, можно брать блоки между бранчами и вычищать указатели, чтобы универсально было и уже из вычищенного делать сигнатуру, отладчик позволяет читать блоки, сигнатуру разбирать на рекорды, при вхождении первой сканировать следующий блок, если совпало проверяем дальше, эдакий упрощенный вариант антивирусного движка, они работают по такому же принципу. Дизасм есть, адрес есть, от CIP стоящего на бранче бежим до следующего бранча или ret.

| Сообщение посчитали полезным:

shellstorm пишет:
repair нифига не ремонтировало.
вы*бало по полной, выручил --> VisualStudioUninstaller <--
не знаю какие задачи Вы решаете, и чего ожидаете, ша с настройками разберусь, фронтовиков уважу, и чего нить залью.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

NFD plugin for x64dbg (Linker/Compiler/Tool detector)

| Сообщение посчитали полезным: mak, Bronco

Bronco

> difexacaw, менторский тон не воспринимаю априори, поэтому плезир, отредач свой --> пост <-- сам, и желательно ответом на мой вопрос, через призму текущей темы. "деды воевали" оставь для васма.

Может стоит немного поспать, ну что бы разум прояснился и не употреблять, то что юзаете, это на ваш разум плохо действует, впрочем я тоже раньше долбался веществами. Так что понимаю вас лучше чем вы себя.

-----
vx

| Сообщение посчитали полезным:

hash87szf пишет: страшно, ну прям не верится что читать сигнатуры с файлцо

так файл принципиально ничем не отличается от страницы памяти, взял указатель да и бегай по нему, в этом смысле даже проще чем с файлом, не нужно делать проекцию, тем более размеры страницы известны, если надо можно сразу читать структурами\в буфер.
да и yara умеет искать в памяти, и она же идет в комплекте с отладчиком.

| Сообщение посчитали полезным:

Dart Raiden пишет:
(Linker/Compiler/Tool detector)
я так понял что базы с сигнатурами прошиты.
не дурно бы, для перспективы, чтобы побольше от Detect-It-Easy by hors в плагин добавить, место же ещё много.
у PE-Header-Dump-Utilities один недостаток, всё в лог пишется.
Bronco пишет:
и чего нить залью.
немного погонял на качество, в XEDParse + ещё N критических опкодов.


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco the assembler engines are not all on the same page currently, which is basically the reason there are multiple. Personally I would recommend to use asmjit because it is based on the most stable backend. XEDParse was really a project done when no other x64 assembler engine was available and it's mostly outdated with lots of bugs.

As for the different sizes of the output. Often compilers don't output the most efficient representation for an instruction so re-assembling them with any assembler engine could cause the instruction to become smaller. You can use the 'Fill with NOPs' option to work around this.

shellstorm Not sure what this crash is you mention when pasting a script. Could you paste the script you pasted? Some time ago I fixed a possible crash when loading an empty script, perhaps you are using an older version?

difexacaw not sure what the relevance of AVL trees would be, considering that a control flow graph is not really something you model with a tree. The graph representation in x64dbg is pretty efficient, but could probably be improved by using a better hash map in combination with a pool allocator but I didn't find any performance problems on the analysis myself, even on gigantic functions.

As for the graph representation, do not use the raw BridgeCFGraphList, BridgeCFNodeList and BridgeCFInstruction. They are only provided as a serialization mechanism to transport the graph representation over a C API. You should instead use BridgeCFGraph (https://github.com/x64dbg/x64dbg/blob/development/src/gui/Src/Gui/DisassemblerGraphView.cpp#L1595).

You can then use "node=graph.nodes[graph.entryPoint]" to get the basic block (BridgeCFNode) of the function start. From there you can use "graph.nodes[node.brtrue]" and "graph.nodes[node.brfalse]" to traverse the graph. You can also walk the graph backwards using the "graph.parents" in a similar way.

| Сообщение посчитали полезным: difexacaw, shellstorm

mrexodia

Спасибо за хорошую рекламу, даже удивился что вы тут ответили, хоть чепуха, но всё равно интересно.. Про обратный проход по графу - вы наверно думаете что мы совсем глупые ?

-----
vx

| Сообщение посчитали полезным:

mrexodia пишет:
recommend to use asmjit
угу...
оригинал и XEDParse

asmjit и Keystone

все выравнивания нопами asmjit чаще пишет как один байт 90, иногда 2 простых нопа.
а в источнике

любая залоченная инструкция и мы с асмжт в ауте.
Keystone частенько портит указатели, + увеличивает размер инструкций.
В каждом двиге свои траблы.
Играться вроде можно сетингом двигов, но изменить не успеваем. - часто на записи вылазит
"COULD NOT ALLOCATE MEMORY"
даже бул ретурном не возвращают.
почему не посмотреть в сторону дизасма от мелких?
Как отключить к *беням, регистрацию патченных байтов ?
Во первых , предел 10000 байт, дальше отладчик начинает задыхаться.
Во вторых, все что пишется байткодом, патчем тупо не регистрируется, в итоге от него смысла нет, приходиться дампить и ребилдить. Ещё чего нить накидать?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

а что там должно быть ?
загнал в сисеровский дизасм ради интереса



| Сообщение посчитали полезным:

размер источника для мовика с указателем 7 байт, кеды так и пишут, остальные 2 двига инструкцию кодируют как 10 байт. причём прицепились только к rax.
выравнивание нопами по коду довольно много, на примере первого, источник 4 байта, кеды записали как 4, кейстоун как 3, асмжт тупо 1 ноп.
тела фунок с пост и предусловиями, и более сложными циклами.
попадаются подпрограммы где есть и lock, и movss, и места под гланды. тихий шок.
при долгой работе отладчика по скрипту система притормаживает, глянул по диспетчеру нажрал 2.5 гига.
стартовал с 70 мб.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

mrexodia пишет: Some time ago I fixed a possible crash when loading an empty script, perhaps you are using an older version?

1. open dbg
2. paste:call
3. close dbg
...


Добавлено спустя 18 минут
difexacaw пишет: что мы совсем глупые

Только ты. Никому не нужен ребилд инструкций или морф блока. Это отладчик, а не малварь или какой то реконструктор. Данная реализация графа позволяет проверить вхождения адресов в блок, большего от него и не требуется, этого достаточно для разбора кода под каким нибудь говнопротом. Если этого недостаточно то отладчик позволяет брать блоки кода или блоки графа и самому строить какие угодно графы с использованием любой библиотеки.

| Сообщение посчитали полезным:

В телах функций есть "мёртвый код". это либо ячейки для записи_чтения данных защитой, либо таблицы с указателями или индексами. каким способом лучше свернуть тело функции без "мёртвого кода"?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

reversecode, когда там уже ring3 syser запаблишишь ?
Bronco пишет:
все выравнивание asmjit пишет как один байт 90
Видимо логика у авторов была такая - раз это nop, то заменяем на 90, экономим память, а раз он заменяет, значит понимает что это 4 и 9 байтный ноп.

| Сообщение посчитали полезным:

Bronco

Покажите на примере.

Если это константы между ветвями, то они удаляются автоматически при создании графа, так как на эти данные нет ветвления. Если ветвление косвенное, то задача усложняется - отличить код от данных.
Если это паразитные инструкции, то их можно удалить через граф данных - такие инструкции не участвуют в логике работы кода, к примеру результат исполнения инструкции далее не используется(данные/контекст) теряется.

-----
vx

| Сообщение посчитали полезным: shellstorm

difexacaw
на примере.

это ячейка не заполнена, таблицы для примера не пойдут, шибко большие..))
как програмно детектить разобрался, а вот как свернуть функу на новом месте не нарушив конструкцию, пока не вкурю.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

При описании графом две add не будут включены, так как нет ветвления на этот блок. Смотрите пример:





5174_17.05.2017_EXELAB.rU.tgz - gpdt.zip

-----
vx

| Сообщение посчитали полезным: Bronco

v00doo 64 ? за него возьмусь только когда добью и народ обкатает 32 на баги
а если альфу 32, то она всегда есть, только никому не надо

| Сообщение посчитали полезным:

Bronco пишет: а вот как свернуть функу на новом месте не нарушив конструкцию, пока не вкурю

Собственно клерк как ни странно, но все верно написал.
Блок это промежуток между бранчами, смотрим вхождение адреса в блок, если его нет, значит это мусор, можно даже занопить, чтобы не отвлекало внимание. Только здесь тоже есть нюансы, в статике не всегда возможно определить вхождение адреса в блок, ведь можно и jmp eax + цифры. В целом это классическая задача по покрытию кода.
Базовый анализ и сам отладчик умеет делать
Берете проанализированные блоки и ищите среди них пересечения, адреса пересечений тоже умеет искать, но полноценный анализ без динамики невозможен и здесь остается вести свой лог по всяким jmp reg\call reg.

Добавлено спустя 6 минут
Рекомендую для ознакомления пару книг по графам написанных человеческим языком и которые можно осилить без особых знаний математики.
Алгоритмы. Построение и анализ
Фундаментальные алгоритмы на C++. Часть 5. Алгоритмы на графах

| Сообщение посчитали полезным: Bronco

shellstorm

> Блок это промежуток между бранчами, смотрим вхождение адреса в блок

Блок" это ветвь. Если проверять по адресам, то это приведёт к классической ошибке - ветвление не на начало инструкции вызовет корреляции, например push 4/jcc $-1. Так как два такие "блока" будут перекрываться по адресам

-----
vx

| Сообщение посчитали полезным:

shellstorm пишет:
но полноценный анализ без динамики невозможен
в смысле, трассировка в живую?
тогда динамики пока нет.
феньки, за полезное инфо, всем потыкал.
переписал_обкатываю, утечек нет, исправление размера нет, быстрее в 2,5 раза.
сборкой по блокам чуть позже займусь.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: