#ifdef
немного оффтопика, шапка всё таки.
Отладчик набирает потихоньку обороты, базовая платформа достаточно гибкая.
Сам проект опен сорс, как и остальные крос платформенные движки в нём из пользованные.
Неплохой pluginsdk, к сожалению мало описания в help, но по хидерам разобраться довольно не сложно.
Собственно в чём вопрос ?
Парни всё есть, но никто ничего не пишет.
//Для OllyDbg на тутсях целый раздел и с плагинами и с скриптами.
Вот по случаю решил пополнить копилку. Хз что, но пока мутил было интересно.
Рассчитываю, что это даст старт, более практичным обсуждениям и в плане программирования и в плане решения разных задач.
Топик для всех плагинов, которые либо есть, либо будут.
Многие из тех что есть так же опен сорс.
В общем не Грааль конечно, но лудоманить на этом не приветствую.
#else
О плагине !
Из того что в разработке, но частично готово.
Меню отладчика
- Чистим историю открытия приложений, скриптов и командной строки:
Меню отладчика //- Зарегистрировано пока 9 новых команд для скриптового движка.
- RipAsmCode - описание в мсг
- RipAsmInstruction - описание в мсг
- FindAsmInstruction - описание в мсг
- FunctionAsmEnd - описание в мсг
- FunctionLogClear
- FunctionLabelClear
- FunctionScriptAbort
- FunctionFindPointer - описание в мсг
- FunctionGetTime
Меню отладчика
- Параметры Деобфускатора//сохраняются в ини
Меню отладчика
-- Параметры "обхода лапши"//сохраняются в ини
Меню отладчика
-WannabeUIF под обе архитектуры
Меню диззасма:
- Деобфускатор // бетка
- В выделеном листинге перемещаем все нопы вниз.
- Обходим лапшу из jmp&jcc//статик трассировка в выделенную страницу
- Освобождаем память от выделенной страницы, и удаляем все записи в лейбах.
#endif
Под х86 тестировалось инерциально, под х64 пока только на паре тройке семплов..))
Из нерешённого, это кьют_виджеты, идея перетащить табшиты лога и скрипта в окно дампа как то не решается.
И пройтись по элементам дальше хендлов дочерних окон с ClassName Qt5QWindowIcon, пока не получается.
--> Эта <-- тема актуальна, оптимизация по шаблонам(потернам) довольна реальна, но как организовать базу данных для них, пока не решалась.
Линк запостил.
--> от 24 июля 2017<--
Дальше посмотрим, что из этого топа выйдет.
//ахах топ потыхеньку умирает, сколько бы не постил

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mak, zNob, Haoose-GP, v00doo, jinoweb, ClockMan, fasteralex

Bronco пишет: из 19 тел, 7 пропустили из-за текущего подсчёта интов, не проскочили инструкции выравнивания нопами

Подобное как раз по причине дубовых сигнатур, в этом случае даже регулярки были бы предпочтительней или двиг yara, последнее умеет многопоточность и сигнатуры не совсем дубовые, можно в правило заложить вариации, страницы матчить умеет из коробки.

| Сообщение посчитали полезным:

shellstorm пишет:
или двиг yara
плезир, объясните тёмному да в лаптях, как это чудо юзать..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: плезир, объясните тёмному да в лаптях, как это чудо юзать

Так в самом же отладчике есть: https://github.com/x64dbg/x64dbg/blob/06db8b4856e085312d92e27ba023da2b04d97dd6/src/dbg/commands/cmd-searching.cpp
содрать по образу и подобию, в текущем виде просто нельзя воспользоваться всем функционалом из вне.

| Сообщение посчитали полезным:

shellstorm пишет:
Так в самом же отладчике есть:
то что есть я знаю, рассчитывал какие то примеры живые увидеть. по хидерам глягул, что то линкует, только что на входе хз.
а так два контрола для опендиалогов, и один что то выделить ни на что не намекают.,

Добавлено спустя 18 часов 52 минуты
shellstorm
в сдк есть 4 апишки
BRIDGE_IMPEXP void GuiSetGlobalNotes(const char* text);
BRIDGE_IMPEXP void GuiGetGlobalNotes(char** text);
BRIDGE_IMPEXP void GuiSetDebuggeeNotes(const char* text);
BRIDGE_IMPEXP void GuiGetDebuggeeNotes(char** text);
В динамике по скрипту, в основной лог кроме полезного, пишут ещё разную херь, фиксить сорцы на эту тему, ещё больше надоело. Каков резерв в нотес или дебагнотес пока не знаю, но скидывать туда логирование по скрипту, вроде привлекательно. Пока не пробовал, жду ответа.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

На последней Win10 в ScyllaHide Heap flags детектшн сломался. Тоесь нормальные проги без протов падают если Heap flags включен.

| Сообщение посчитали полезным:

hash87szf, давно писали уже, не фиксят, юзай снап от 2017-24-02_16-52

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Я ток недавно на 10ку подсел, посмотреть. Так шо, старый билд на ней робит? Regression?

| Сообщение посчитали полезным:

это не старый, в них просто пути к инишкам разные, ну и в мартовском билде вышла такая шняга с флагом.
на билде под 12 дх нормальный полёт, а под 11дх борода..
ты же тредгвард пытаешься сношать...февральский снап поможет..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: v00doo

> ты же тредгвард пытаешься сношать
чаво, шо за тредгвард и это не я а Вамит

| Сообщение посчитали полезным:

Bronco пишет: то что есть я знаю, рассчитывал какие то примеры живые увидеть

Так там прибита yara, только сканирует файлы на диски.
Вот класс-обертка https://github.com/AmrThabet/winSRDF/blob/default/User-Mode/cYaraScanner.cpp
или глянуть в самом yara.exe, там немного кода, больше принтов, только немного переписать работу с буфером, не с диска читать, а из памяти.

| Сообщение посчитали полезным:

use memory map -> right click -> yara to scan memory with yara. in symbols -> right click -> yara file you can scan files.

| Сообщение посчитали полезным:

mrexodia пишет: use memory map -> right click -> yara to scan memory with yara. in symbols -> right click -> yara file you can scan files.

oh no. please add this interface to the plugin. plugin interface -> memory -> scan yara (section, page, region)\select rules.

| Сообщение посчитали полезным:

shellstorm пишет:
не с диска читать, а из памяти.
ок. посмотрю. хотя поиск паттерна по дефолту очень быстр и хорош. там только не хватает формата, для динамических паттернов. Мой поиск больше заточен именно под указатели VA или RVA.
"FunctionFindPointer addr, pattern, len"
Обкатал трассер, фильтры под задачу, поэтому в скрипте, чуть позже подтяну единорога.
Переписал все нопы вниз, участок кода из 70000 инструкций с трассы и 100000 нопов после зачистки паттернами, собрал за полчаса.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
--> обновление от 20 июля 2017<--
шапку обновил, плагин так же.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: shellstorm

Переписал "обход лапши" под список, с Capstone стало шустрее и стабильней. размер страницы определяется программно.
Асемблить результ пока удобней Бриджем или Титаном.
Добавил фильтры с записью в "ScriptCmd.ini", пока по мнемоники. Шибко не увлекайтесь...
Добавил параметры для "обхода лапши" , с записью ключей в "ScriptCmd.ini".
Юзать можно 2 режима, один для гавнокода, второй для нормального// иногда тела фунок нужно перенести
Добавил параметры для Деобфускатора, логирование информативно, но больше нужно для отладки логики.

Шапку обновил.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mak, v00doo

результ деобфускации на чистой денувке (без дерьмопрота) на 99,9%
де компиляцией деобфусцированного кода вплотную пока заниматься лениво.
в свежей защите пока не реализован один новый разрыв трассы,

паблить обнову то же лениво

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: v00doo

Bronco пишет:
результ деобфускации на чистой денувке (без дерьмопрота) на 99,9%
де компиляцией деобфусцированного кода вплотную пока заниматься лениво.
в свежей защите пока не реализован один новый разрыв трассы, паблить обнову то же лениво

Ну если паблить лениво, то зачем и писать

| Сообщение посчитали полезным:

jinoweb пишет:
Ну если паблить лениво, то зачем и писать
дык ...причин что бы не паблить несколько, первая зависима от наличия желающих тестировать хотя бы деобфускацию под обе архитектуры. пока таких желающих зеро.
вторая зависима от кол-ва изучаемого материала.
На базе 4 игр в целом утверждать что либо опрометчиво, хотя в частностях уже убеждён что никаких версий (4, 4.5 или 5) нет. Налицо, у разрабов пока поиск оптимального решения, по обфускации только примитивов ВМ, обработчика таблицы индексов и сейв_ресторе контекста при передачи управления.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: ClockMan, v00doo

достану топ из могилы, парой вопросов.
На Логе отладчика висит регистрация и обработка многих событий. часть полезные и информативные, часть избыточны и назойливы. в итоге лог общий для всего, и имеет лимит.
патчить сорцы дбг уже за гланды. откл совсем то же не вариант.
при работе скриптами(любыми), мягко сказать, выхлоп кошмарный, и по хорошему теряем время на всём,и часто на практике, теряем всё, если падаем или висим на рендере кьюта.
типов данных всего 7, 2 из них авторские. пропарсить строку формата и считать данные из переменных скрипта, не проблема. сейвим в файл в райнтайме, можно в разные, для сортировки это даже удобно.
НО...
по опыту знаю формат штука капризная, и если не соответствие типов данных, дбг сразу в аут.
И вот ту вопрос, валидация типов данных, да и ваще от неграмотных защита..у кого какие мысли?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco остался ли плагин из шапки? А то на сендспейсе он удалился.

| Сообщение посчитали полезным:

Есть плаг шоб показывал в titlebar/statusbar в какой функе/label сейчас находимся/ip?
команда labelset есть, а get нет... тоесь и не напилить?
https://x64dbg.readthedocs.io/en/latest/commands/user-database/labelset.html

| Сообщение посчитали полезным: