история реверса в оффтопе кто не видел --> Link <--
благодарностей не надо,
багов наверняка там еще много, как собственных так и в процесса реверса, TODO тоже еще есть
но в целом уже можно запустить, трейсить, ставить бп, добавлять вотчи, даже плагины, итд

интересны моменты(багрепорты) когда дебаггер будет падать

x32/x64 https://www.sendspace.com/file/t4lpr5 - недоступна, в розыске последняя версия кто успел сохранить

4 июня 2017, 20:59:10
http://rgho.st/67jjLSRTg


1607 210517
add handle int 3
fix mouse scroll
fix memory leak PEFile read import

0413 230517
fix crash on delete watch item
improve terminate debug
add FlushInstructionCache on WriteMemory
start debug from cmdline

2046 230517
improve reset(reload the input file) (WO hotkey)

1528 240517
hide BP(CCh) bytes from HexView, show original value
colored BP(code,data) in HexView
done re PopupMenu on HexView (hotkey not tested), operation toolbar in TODO
done re command(edit,move,compare) memory

0203 250517
done re ModuleList window
done re ascii/unicode string context ref
fix env path by add manifest

2224 250517
fix crash without dbg plugin
first build x64

1813 280517
fix mouse wheel scroll on x64
fix scroll by UPbtn bar
add ALT+ hotkey
fix fit hexview on x64
fix hexview change addr on edit addr area
fix align stackview on x64
fix str sym ref on \t
add resolve ctx ref on r8-r15 CPU reg x64
improve PE loader for x64, for resolve import/export sym
fix select bytes on hexview for x64
add show EB line jmp ref
chg addr/offs represent on codeview

0731 290517
fix PE Loader for x64, to read import/export for hibase > 32bit, as example kernelbase.dll
done re sym command, allow show/add symbol/use it for set breakpoint
fix readpe onload file, for correct read sizeof file for x64
fix search module range and module info status for x64

1258 040617
fix disable load x86 on syser x64
fix fmt fit addr exception violation on syser x64
fix PID/TID status and expr var
fix fit addr tab in code/data view for x64
fix 'p ret' cmd, run to return
implement SDK menu api
done re process list window (attach work, detach from target at todo)
starting re peexplorer window

1559 040617
fix load SyserColor.cfg from old SyserOption.exe util https://www.sendspace.com/file/l7r3pw

2058 040617
improve highlight keyword

api и пример плагина в архиве дистрибутива

x32



x64


| Сообщение посчитали полезным: zNob, difexacaw, shellstorm, plutos, r_e, dosprog, SReg, DICI BF, sefkrd, HandMill, Veliant, daFix, Vamit, ELF_7719116, v00doo, VanHelsing, -Sanchez-, Abraham, mak, Hugo Chaves, raiser, vden, MasterSoft, MarcElBichon, nice, chessgod101, stnt, 4kusNick, ==DJ==[ZLO], VOLKOFF, ClockMan, freudz, Dazz

reversecode

> где то выход за границы массивов и память портится по всем классам вниз...

При открытии самого себя крэшит в RtlFreeHeap().
Можно попробовать заюзать этот инструмент --> Link <--

-----
vx

| Сообщение посчитали полезным:

крешится даже оригинальный сисер, и даже олька не переносит если приложение лезет вызывать GetOpenFileNameA/W

ида с трудом переносит этот вызов, начинает делать дикий ребейс, и поитогу все равно слетает, а если и пытаеться жить то БП не работают

x64dbg не пробовал, но есть мысли что будет так же....

Добавлено спустя 1 минуту
если кто расскажет что там за секрет, то может и смогу пофиксить

| Сообщение посчитали полезным:

reversecode

Без диалога, мышью перетянул, попробуйте сами. Слетает в недрах менеджера хипа, надо или по суркам нт разбираться или же каким то анализером памяти, на лету трудно сказать чего именно там побито.

-----
vx

| Сообщение посчитали полезным:

reversecode пишет: x64dbg не пробовал, но есть мысли что будет так же....

Как ни странно, но работает, по поводу утечек и сайдов, я погорячился, забыл, что до этого тестил приложение с GC. и часть диагностик отключил. Попробуйте http://www.deleaker.com/ мелкая утилита и простая как лом, триала хватит для тестов. Плохо, что вы PDB не закинули в архив.

| Сообщение посчитали полезным:

shellstorm, я так понимаю, pdb нет по той же причине, что нет и сорсов.
У меня он умудрился упасть на загрузке обычного приложения, поймать не успел, больше не падает, странно очень.

| Сообщение посчитали полезным:

v00doo пишет:
pdb нет по той же причине, что нет и сорсов.

) Причина вполне гуманная - оградить юзеров от ненужного головняка.
А то ведь полезут и себе ковырять

-----------------------------
reversecode
Кстати, маленькое типа пожелание
- не нужно заморачиваться со всякими там утилитами и чудачествами из главного меню, есть отдельные инструменты для этих целей. Это же не ring0 тулза.
А старые пункты меню поубирать вообще лишние.
Пускай остаётся в минимальной конфигурации, лучше довести до ума эргономичность и базовый функционал, чтобы стало действительно удобно.
И не тулить туда всякие приблудные библиотеки, потому что помимо ring3 есть ещё и ring0
Чисто теоретически

| Сообщение посчитали полезным:

dosprog пишет: А то ведь полезут и себе ковырять

Смысла нет, учитывая, что автор жив и помирать вроде бы не собирается, и учитывая, что есть открытая альтернатива с формировавшимся комьюнити. Даже некоторые коммерческие проекты идут с PDB, поскольку даже если кто то сделает клон от этого будет мало толку, кто будет фиксить баги и осуществлять техническую поддержку.

| Сообщение посчитали полезным:

открывал закрывал сисер сисером, все нормально
ничего не падает, видимо это проблемы из разряда заумности винды
где как мемори лик на который в одной винде падает, а в другой мемори хип игнорит что ему суют не тот участок памяти который выделяли

так я в оффтопе писал, что интерес к открытию соурсов уже пропал, умные люди отговорили
надоумили дотянуть до ring3 64 и закинуть на полку к другим тесерактам
будет интерес при котором можно будет вытянуть какой то комерс, хорошо
а нет, так пойду другими идеями заниматься

есть еще слабый интерес к ring0 32, который возможно будет уже для приватных билдов в комерц
и совсем фантастической идея ring0 64

тему пошевелили, так смотри может китаезы воскреснут и выйдут девелопить опять свой сисер

| Сообщение посчитали полезным: r_e

reversecode пишет:
интерес к открытию соурсов уже пропал

reversecode пишет:
вытянуть какой то комерс

reversecode пишет:
для приватных билдов в комерц

Торговля рипнутыми исходниками ворованной китайской программы 10 летней давности не самая лучшая идея

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

исходниками пока еще никто не торгует, говорилось о программе
где могут быть заинтересованы в своих сборках

а вообще сходи китайцам это расскажи которые абибасами торгуют каждый день и зарабатывают точно не копейки
или пром гигантам которые каждую красивую царапину патентуют
а джаст фофан тратить время у меня желания нет
если интерес не пропадет, ring3 64 и топик клосед

| Сообщение посчитали полезным:

reversecode пишет:есть еще слабый интерес к ring0 32, который возможно будет уже для приватных билдов в комерц и совсем фантастической идея ring0 64

Не тратьте время если вам это не нужно для личного использования или для получения каких то знаний в процессе. Удаленной отладкой пользуются не потому что нет альтернативы, а потому что вся ось может лечь и соответственно есть не иллюзорный риск потерять данные, в общем коммерческого успеха данная затея не принесет.

| Сообщение посчитали полезным:

комерц интерес когда к тебе прихоят и говорят,
- вот тебе денег - отдай нам сорсы
или
- вот тебе тебе денег, только переделай нам вот так и этак и хотим еще что бы доработать что то
итд

где вы сейчас комерц увидели ? ну гнилой конь везде влезет, это да
а так в целом хотелось по развивать дебагер для народа, с учетом скучности альтернатив

| Сообщение посчитали полезным: Bronco, AKAB

reversecode пишет:
с учетом скучности альтернатив
Мда, альтернатив не густо, я как-то собирался Ольку 2 реверснуть и до ума довести, но как увидел, что она под Борландом писана, так всё желание и пропало...

-----
Everything is relative...

| Сообщение посчитали полезным:

пока суть да дело,
разобрался с падением по рестарту
пришлось нормально сделать отладочный треид,

оказывается нужна была DebugActiveProcessStop
причем еще и вызываться должна с того треида где был отладочный цикл .. ? в документации мелких ничего об этом не говорится...
а иначе кричит акксесс денайд, и никакие привилегии не помогают
только через гугл случайно наткнулся на
--> Link <--
Is DebugActiveProcessStop called from the same thread that is running the debugging loop?
казалось бы, какая в фиг разница ? оно что биндится к треиду а не к процессу ? вообщем работает

добавил еще запуск с ком строки, и там же аттач по пиду тоже

дорефакторю юнины сделаю билд

| Сообщение посчитали полезным:

Планируется ли добавление соурс дебагинга, как в оригинале? Эта фича была бы крайне полезна.
Учитывая уже проделанную фантастическую работу, восстановить и этот функционал не будет сложной задачей для автора.

| Сообщение посчитали полезным:

reversecode пишет:
только через гугл случайно наткнулся на

толи еще будет (ойойой)

HawkNelson пишет:
Планируется ли добавление соурс дебагинга, как в оригинале? Эта фича была бы крайне полезна.
пишите сразу какого компилера, ибо в разном вендора разная дебаг база ....

| Сообщение посчитали полезным:

соурс дебагинг пока нет
хочется еще дебаг инфу с pdb подтягивать что бы асм был красивее и юзабельнее
и в x64 портировать
мелкие хотелки думаю как то будем стараться доделывать

все остальное крупные хотелки за донейты или по настроению автора, в будущее смотреть не могу
мои ресурсы не безразмерные

| Сообщение посчитали полезным:

Vamit пишет:
Мда, альтернатив не густо, я как-то собирался Ольку 2 реверснуть и до ума довести, но как увидел, что она под Борландом писана, так всё желание и пропало...
Задавался той же целью. Отреверсил большую часть внутренних структур, переменных и функций. В чем разница между ехе от борланда и от msvc? Там чистый С без плюсов. Больше напрягает, что в некоторых функциях свалены тонны кода. Есть подозрение что в оригинале были inline функции. Или циклы вида

превращаются в

Ида такое не осиливает. Только руками.

| Сообщение посчитали полезным:

обновил, надеюсь рефакторинг юнион структур ничего не сломал
один баг падения исправил, при удалении елемента с вотч окна
0413 230517
fix crash on delete watch item
improve terminate debug
add FlushInstructionCache on WriteMemory
start debug from cmdline


так начинайте реверсить рейс)) я один ничего не успею

| Сообщение посчитали полезным: dosprog, sendersu

) О. норм.

Только вот непонятно, что там с ресетом - неплохо бы ему назначить Ctrl+F2 кнопку стандартно
и разобраться, почему после завершения отлаживаемой программы неактивен пункт меню "Reset",
так что приходится делать "Load" по новой.
Так же странно ведёт себя и оригинальная версия.



| Сообщение посчитали полезным:

reversecode пишет:
все остальное крупные хотелки за донейты

пора уже бтц кошель или иной завести?

| Сообщение посчитали полезным:

да я все помню, но пока то что требует больших изменений, стараюсь не трогать

| Сообщение посчитали полезным:

Veliant пишет:
В чем разница между ехе от борланда и от msvc?
Разница в ГУИ, с Борландом лет 10 уже как не работаю, а перетягивать их гуи в MFC не вижу смысла, а в остальном конечно разница невелика, но она есть...
А под чем интересно оригинал Сисера написан?

-----
Everything is relative...

| Сообщение посчитали полезным:

аттач по пиду с ком строки или консоли сисера, вместо имени кейссенситив \PID:десятичное_число
хотя брякается оно внутри ntdll.dll ... вообщем надо еще дорабатывать что бы брякалось на коде самого сисера

сисер все кастомное самописное от носа до хвоста, а так msvc c++

| Сообщение посчитали полезным:

Veliant пишет: Задавался той же целью.

+1. Тоже думал реверснуть сам отладочный движок, в итоге утонул в гуи простынях и инлайнах, в общем забил на реверс олли.

| Сообщение посчитали полезным:

спешиал фо доспрог
2046 230517
improve reset(reload the input file) (WO hotkey) - без хоткея

| Сообщение посчитали полезным:

Спс.

| Сообщение посчитали полезным:

1528 240517
hide BP(CCh) bytes from HexView, show original value
colored BP(code,data) in HexView
done re PopupMenu on HexView (hotkey not tested), operation toolbar in TODO
done re command(edit,move,compare) memory

Добавлено спустя 1 минуту
подсветил БП в хексвьюве, в сисере было заложено но не реализовано
експорт данных в буфер обмена с хексвьюва главное работает))

Добавлено спустя 9 часов 52 минуты
https://stackoverflow.com/questions/10431689/what-are-these-strange-environment-variables
=::=::\
с такими путями весь ENV

столкнулся с этой бедой на сисере, у запущенного приложения похерен ENV, который унаследован уже от запущенного syser.exe
у которого он сам похерен

оказывается не хватает манифеста, любого прицепленного
заодно и иконки прицепил

Добавлено спустя 10 часов 28 минут
0203 250517
done re ModuleList window
done re ascii/unicode string context ref
fix env path by add manifest

| Сообщение посчитали полезным:

добавил в шапку x64
вроде не падает, хотя еще есть что доделывать.. но основное вроде работает
тестируем)

| Сообщение посчитали полезным: sendersu, shellstorm, v00doo, VodoleY, HandMill, Veliant, Dart Raiden, Hugo Chaves

reversecode пишет: тестируем)

Погонял x64, потыкал все менюшки, ни упало ни на одном таргете.
Для статистики, тестировал на w7 sp 1.
Странное поведение у F11 почему то работает как F8.
На некоторых инструкциях нет выравнивания по установленному отображению uppercase


| Сообщение посчитали полезным: