история реверса в оффтопе кто не видел --> Link <--
благодарностей не надо,
багов наверняка там еще много, как собственных так и в процесса реверса, TODO тоже еще есть
но в целом уже можно запустить, трейсить, ставить бп, добавлять вотчи, даже плагины, итд

интересны моменты(багрепорты) когда дебаггер будет падать

x32/x64 https://www.sendspace.com/file/t4lpr5 - недоступна, в розыске последняя версия кто успел сохранить

4 июня 2017, 20:59:10
http://rgho.st/67jjLSRTg


1607 210517
add handle int 3
fix mouse scroll
fix memory leak PEFile read import

0413 230517
fix crash on delete watch item
improve terminate debug
add FlushInstructionCache on WriteMemory
start debug from cmdline

2046 230517
improve reset(reload the input file) (WO hotkey)

1528 240517
hide BP(CCh) bytes from HexView, show original value
colored BP(code,data) in HexView
done re PopupMenu on HexView (hotkey not tested), operation toolbar in TODO
done re command(edit,move,compare) memory

0203 250517
done re ModuleList window
done re ascii/unicode string context ref
fix env path by add manifest

2224 250517
fix crash without dbg plugin
first build x64

1813 280517
fix mouse wheel scroll on x64
fix scroll by UPbtn bar
add ALT+ hotkey
fix fit hexview on x64
fix hexview change addr on edit addr area
fix align stackview on x64
fix str sym ref on \t
add resolve ctx ref on r8-r15 CPU reg x64
improve PE loader for x64, for resolve import/export sym
fix select bytes on hexview for x64
add show EB line jmp ref
chg addr/offs represent on codeview

0731 290517
fix PE Loader for x64, to read import/export for hibase > 32bit, as example kernelbase.dll
done re sym command, allow show/add symbol/use it for set breakpoint
fix readpe onload file, for correct read sizeof file for x64
fix search module range and module info status for x64

1258 040617
fix disable load x86 on syser x64
fix fmt fit addr exception violation on syser x64
fix PID/TID status and expr var
fix fit addr tab in code/data view for x64
fix 'p ret' cmd, run to return
implement SDK menu api
done re process list window (attach work, detach from target at todo)
starting re peexplorer window

1559 040617
fix load SyserColor.cfg from old SyserOption.exe util https://www.sendspace.com/file/l7r3pw

2058 040617
improve highlight keyword

api и пример плагина в архиве дистрибутива

x32



x64


| Сообщение посчитали полезным: zNob, difexacaw, shellstorm, plutos, r_e, dosprog, SReg, DICI BF, sefkrd, HandMill, Veliant, daFix, Vamit, ELF_7719116, v00doo, VanHelsing, -Sanchez-, Abraham, mak, Hugo Chaves, raiser, vden, MasterSoft, MarcElBichon, nice, chessgod101, stnt, 4kusNick, ==DJ==[ZLO], VOLKOFF, ClockMan, freudz, Dazz

Как в оффтопе и писал о проблемы на современных мониторах то и увидел. Все мелкое и мыло, но интуинтивно анпакми asprota распаковал, не упало. Теперь к багам к тем которые успел затестить с такими шрифтами, колесо мышки работает в одну сторону, независимо от того куда его крутить, список все равно крутится в одном направлении.
update:Прогнал на утечки парой тулов, алертов нет. Это уже не баг а пожелание, сделать открытие таргета через ярлык, сейчас этого не умеет, что очень не удобно и думаю не только мне.

| Сообщение посчитали полезным: reversecode

А почему без сурков ?

Добавлено спустя 8 минут
reversecode

Скролл робит в одну сторону. Есчо не работают int3 - даже в дизасме нельзя точку останова поставить.
При выборе в меню reset" валится на #AV:



-----
vx

| Сообщение посчитали полезным: reversecode

девелопить пока точно ничего не буду, это я о мониторах и шрифтах итд
что бы девелопить нужно дотянуть до состояния что то уже менять,
а так я разойдусь с кодовой базой оригинального и утону в двойных багах

скрол поправил, мышки то у меня нет, а на тачпаде я этим не пользуюсь
прогу можно открывать драг анд дроп(должна работать не проверял)

в каком дизасме ? куда поставить ? там рядом слева поле, на нем два клика и ставится точка
или через команд лайн, или через менюшку

в трейсе у тебя да, поблема std::map который еще старый остался.. не дошли руки зарефакторить, тогда бы не падало
но как ты умудрился зафигачить это, я хз

| Сообщение посчитали полезным:

reversecode

Я семпл открыл из соседней темы

Там не происходит останов на int3. Тогда я решил помочь и кликнул на int3 что бы поставить точку останова. Это тоже не помогло. Со скролом проблема была всё время, так что это не баг, а фича

-----
vx

| Сообщение посчитали полезным:

reversecode пишет: прогу можно открывать драг анд дроп(должна работать не проверял)

Прогу можно, а вот на ярлык ноль реакции, хотя там всего несколько строк кода, прочесть ссылку на таргет и открыть его.

| Сообщение посчитали полезным:

ааа он на int3 не реагирует... это и в оригинальном сисере, буду разбираться и исправлять

скрол в оригинальном работал, это я накосячил что не скролится вниз

про ярлык давайте несколько строчек кода, посмотрю куда их лучше добавить

| Сообщение посчитали полезным:

reversecode пишет: про ярлык давайте несколько строчек кода, посмотрю куда их лучше добавить

Все давно украдено до нас.
Там в примере уже готовая функция.
https://msdn.microsoft.com/en-us/library/windows/desktop/bb776891.aspx

| Сообщение посчитали полезным:

Upd... под XP крашится на загрузке любого exe

| Сообщение посчитали полезным:

0)
Нет. Под XP всё Ок.


1)
По поводу <int 3> - он просто её перепрыгивает.
Логичнее было бы как в SoftICE -
при "i3here=ON" реакция как на обычный брейкпоинт,
а при "i3here=OFF" полный игнор <int 3>.

И такой вопрос, чисто познавательный -

Вот версия 1.99. 1900.1201 (29 mar 2010)

А вот ребилд:


За счёт чего удалось считай втрое уменьшить размер EXE-ка?


-----------------------------------------------------------------
2)
Дальше такой момент - хотелось бы иметь возможность загрузить отлаживаемый файл,
задав его в аргументах командной строки.
Odbg такое умеет, - оригинальный Syser 1.99 нет.
Ребилд тоже.

3)
Допустим, отлаживаемая программа отработала и завершилась.
Перезагрузить её по новой не получается - клавиша не назначена,
а пункт в меню "Reset" неактивен.
Так же ведёт себя и оригинальная версия 1.99

4)
Падает при нажатии на кнопку Option->"Debugger Select"->"Plugin".
Иногда падает, иногда не падает..




| Сообщение посчитали полезным:

dosprog пишет:
Дальше такой момент - хотелось бы иметь возможность загрузить отлаживаемый файл,
задав его в аргументах командной строки.
ну jmp -2 еще никто не отменял.. а вообще я кода сисер использовал.. прогу восновном останавливал на срабатывании обращения к какойнить АПИ..

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Нет, jmp $-2 это к вопросу об <int 3>,
а загрузка из командной строки то имелось в виду принятие аргумента-имени отлаживаемой программы из строки-комады запуска, например:
C> Syser.exe mytest.exe

| Сообщение посчитали полезным:

int 3 уже работает, реакция как ольке, останавливается на следующей инстр после int3
ring3 вообще не умела этого, я поглядел в ring0, таки да, там есть i3here
ну если что, добавлю и опцией

открытие с ком строки и через ссылку, тоже можно добавить

размер.. ну так оригинальный еще и соурс дебагинг умеет, а в целом оптимизация по полной копилятором включена
в оригинальном от версии к версии некоторые функции оптимизатор не включался, что и помогало в целом достать нормальный код

сейчас странный баг с reset
если делать close open файла в ручную все ок
а если программно быстро, то где в дебаг ядре не цепляются регистры и в итоге краш на нул реф
думаю или sleep вставить между close open
или добавлять доп проверку на ретурн коде еррор, и смотреть .... почему винда после close не отдает контекст

Добавлено спустя 7 минут
1.99. 1900.1201 точно 1 ? закинь на фо
у меня последняя
1.99. 1900.1200

пардон, тоже есть 1201, как я ее просмотрел...

| Сообщение посчитали полезным:

Сразу скажу что материал ещё не смотрел, но несколько вопросов имею...
х64 есть или только х32?
А SDK (PDK), для написания плагов есть? Если да, то имеется ли в функционале асм и дизасм?

-----
Everything is relative...

| Сообщение посчитали полезным:

x64 надеюсь будет, как повезет в жизни
дизасм есть, в сдк нет,
в сдк только дизасм длин
асм нет, но есть возможность его дотянуть и потом выставить в сдк

асм в сдк выставить проще, там строка и буфер, запихнули в асм строку, вызвали функу, получили в буфере закодированый опкоды

с асмом сложнее, открывать его весь не охота, а как выставить что бы было юзабельно не знаю
пока еще не понимаю какие данные нужны для того что бы его было удобно использовать не выставляя все внутренности

Добавлено спустя 8 минут
добавил в шапку файлы апи и примера плагина из архива на пастебин

| Сообщение посчитали полезным:

Память немного течет в функции 40D140

Аллок


Увеличение указателя (происходит в цикле)


Очистка


Из-за этого на моей XP система кидает access violation, читая неверный указатель

| Сообщение посчитали полезным: reversecode

да поправил, это чтения импорта с pefile, странно что на др системах не падало

| Сообщение посчитали полезным:

reversecode пишет:
размер.. ну так оригинальный еще и соурс дебагинг умеет

На это можно не отвлекаться, имхо.

| Сообщение посчитали полезным:

обновил шапку
1607 210517
add handle int 3
fix mouse scroll
fix memory leak PEFile read import

| Сообщение посчитали полезным:

"Tools"->"Soft keyboard"
- при закрытии (крестом) окна клавиатуры - падает.

Набранный комментарий в поле комментариев виден только в текущем положении окна кода.
при скроллировании кода комментарий пропадает.
(И он должен, наверное, где-то сохраняться для последующих запусков??).

Эхх.. Там работы туева хуча, чтобы вышло что-то путное..

| Сообщение посчитали полезным:

dosprog
плавающий баг, может поймаю его все таки,
выше класса клавы объявлен как раз класс плагинов, который раньше валился
где то выход за границы массивов и память портится по всем классам вниз...

нужен какой то мемори сантинизер что ли, только попроще в использовании

Добавлено спустя 12 минут
да комменты не работают, доставалось самое основное и нужное,
многое пустует, меню итд

| Сообщение посчитали полезным:

Понятно.

Ну, главное, движок заработал.
) А колёса то и потом приделать можно. А можно и без них пока



| Сообщение посчитали полезным:

reversecode пишет:
нужен какой то мемори сантинизер что ли, только попроще в использовании
Могу предложить этот --> Link <--, простой в использовании и детектит норм. Только написал бы сначала чем проект компилишь.

-----
Everything is relative...

| Сообщение посчитали полезным:

никаких секретов нет, все консоль

--> Link <--
мейк файл простенький для консоль компиляции
https://pastebin.com/7zU7859j

нужен даже не мемори сантинизер, а типа bound checker, кажется в llvm только появилась

| Сообщение посчитали полезным:

dosprogdosprog пишет:
Вот версия 1.99. 1900.1201 (29 mar 2010)

reversecodereversecode пишет:
пардон, тоже есть 1201, как я ее просмотрел..

друзья, у сиськи посдедняя версия это 1.99. 1900.1220

| Сообщение посчитали полезным:

пойдет ли дизасм если брать два параметра,
входной буфер и дизасм строка на выходе ?
что бы не тянуть все кишки наружу по структурам, опкодам итд

Добавлено спустя 2 минуты
VanHelsing пишет:
друзья, у сиськи посдедняя версия это 1.99. 1900.1220
ашибка да, не 1201, я циферку забыл

syser ring3 1221
я уже нашел и проверил, просто кто то не очень оперативно все с сайта стягивал))
а ring0 да, 1220

| Сообщение посчитали полезным:

Прогнать через мелкомягкий AppVerifier?

| Сообщение посчитали полезным:

reversecode пишет:
пойдет ли дизасм если брать два параметра,входной буфер и дизасм строка на выходе ?
Нет, этого явно мало, придется писать ещё второй дизасм на вашу строку)
Нужно хотя бы как в Идашном сдк, инструкция с типами и префиксами и все аргументы со всеми типами.

-----
Everything is relative...

| Сообщение посчитали полезным:

беду с калькулятором нашел,
беда одна, хекс рейс плохо работает с юнион полями
поэтому что бы легче было реверсить там обычная структура в рейсе
и она же структура переложена в реверс
а эта юнион структура многообразна, там все евенты бегают(дочерта штук 10 как минимум), и числа там то знаковые, то без знаковые
починил скрол(поставил знаковый тип)
поломал другие условия где бегал этот же тип в безнаковом виде

по итогу нужно теперь рефакторить и нормально создавать на каждый евент уже полноценые структуры

Archer пишет:
Прогнать через мелкомягкий AppVerifier?
надо будет поиграться
я раньше думал что он прибит к МС, студии и дебагеру виндбг

Vamit пишет:
Нет, этого явно мало, придется писать ещё второй дизасм на вашу строку)
Нужно хотя бы как в Идашном сдк, инструкция с типами и префиксами и все аргументы со всеми типами.

дизасм тянулся азис, там много мегик констант, которые еще надо будет определять отвязывать и делать из них осмысленный енум

так что наверное даже если захочу вытянуть дизасм в апи, юзать его без рефекторинга с мегик константами будет невозможно

| Сообщение посчитали полезным:

reversecode пишет: нужен какой то мемори сантинизер что ли, только попроще в использовании

Норм https://software.intel.com/en-us/intel-inspector-xe, на трекерах можно найти.

| Сообщение посчитали полезным: