--> todo <--

--> changelog <--

--> https://github.com/marakew/syser/ <--

Добавлено спустя 0 минут
reload
just for fun like a hobby


1711 180320
- restart the project
- new build for x86
- fix close debugger while in modal window
- add menu history
- add bookmark
- implement all console command
- implement pe explorer
- implement run tracer
- new width for dataview, allow by popup menu
- prepare for source debugging

0001 200320
- add options for settings and color
- some settings can be apply without restart
- colors can be apply without restart
- add setting for monitor window to move position left/right
- font size setting need to restart

0030 210320
- allow run on winxp
- fix crash when close debugger with many windows
- disable change IF EFLAGS
- disable edit segment reg/base
- fix color ADDR in codeview
- reimplement colors update settings

1153 210320
- alpha build x64

1810 220320
- fix output unsigned ptr in engine for x64
- fix output expression format for x64
- reimplement scroll limit for codeview
- fix disassembler to show symbol in codeview
- fix dissassembler to follow code/data at imm
- add show group data as qword for x64 (dblcick on address in hexview)
- fix pe read export function names for x64
- fix pe explorer address field for x64
- fix pe tls for x64
- fix crash while using setenv in console for x64
- fix debugger detach process only from attached
- fix trace step on "mov ss" for x64
- fix using cap button close/max/min for x64
- regress: there need restart to use new color, will improve realtime in future

1811 220320
- fix search plugin in Plugin dir

1430 230320
- implement FPU reg "%1.7e"
- implement XMM 8/16 reg by dword x 4
- fix instr info for qword data
- fix all disassm in uppercase
- fix debugger leak handle
- revert fix for detached process
- fix debugger handle unload dll

1030 250320
- fix output ESC chars in strings
- add load public symbols from pdb

1245 270320
- fix mistake/warn found by clang
- fix debugger trace range
- fix same key pressed twice, used with source level debugging
- source level debugging

1730 280320
- fix position close button on tab
- add breakpoints on source code
- add bookmarks on source code

0631 290320
- fix debug trace
- fix infinet loop - out of range by msdia length for source level

0504 2020
- add more symbols from pdb
- add var names in statements for source level debugging
- fix dont follow to source level if set follow to codeview

1805 050420
- fix detect unicode string
- add more symbols from pdb (static vars)

2020 160420
- add allow load BDF font (Menu-Options-Font File Name)

0245 230420
- fix load order BDF font

1750 240420
- fix key action shift+insert <-> ctrl+insert on edit input
- fix use paste clipboard from Windows
- fix double +inf,-inf,nan for output engine

тестировался ter-u18n.bdf
https://github.com/Tecate/bitmap-fonts/tree/master/bitmap/terminus-font-4.39

| Сообщение посчитали полезным: TryAga1n, dima_0007, morgot, Orlyonok, Vnv, r_e, stnt, ClockMan, plutos, Gideon Vi, Hugo Chaves, Veliant, agk70, HandMill, dosprog, DimitarSerg, yashechka, LordGarfio, b30wulf, icerix, IOCTL_

просто банальной заменой шрифт 8x12 не поправиться
сомниваюсь что есть такие готовые рисованные
а так да, в туду есть

148 это в хидере ?
может в линкере компилеру что то надо добавить что бы он ставил

| Сообщение посчитали полезным:

Если это проект выходного дня, то мне очень интересно, сколько на это времени ушло? Год, два? Я вот читал про игры которые делают по 7 лет в команде, но там нужно создавать, а здесь конечно уже все создано.
Да и шрифт вообще мерзкий.

| Сообщение посчитали полезным:

в последнем линкере студии нельзя выставить SUBSYSTEM в 4
и editbin от той же студии ругается и не дает ставить в 4
хотя OSVERSION выставить в 1.0 можно в editbin
эти буратины в мс все сломали и чинить не буду, на форумах тоже орут

яша ну какой год два ?
в офтопе же было ясно рассказано за когда был готов гуи
за три месяца не спешного реверса добито остальное
7 лет это не адекватные сроки вообще ни для чего
я дольше 2-5 мес ничего не делаю за что берусь

Добавлено спустя 4 минуты
а пардон
editbin ругается но меняет
LINK : warning LNK4241: invalid subsystem version number 4.0

просьба поиграться и найти максимально рабочие значения для winxp
https://stackoverflow.com/a/14362109
editbin.exe app.exe /SUBSYSTEM:WINDOWS,4.0 /OSVERSION:1.0

| Сообщение посчитали полезным:

reversecode пишет:
просьба поиграться и найти максимально рабочие значения для winxp

/SUBSYSTEM:WINDOWS,4.0 /OSVERSION:1.0
- Такие и должны быть. Это стандартно.

Ну, можно же в проект добавить вызов editbin с параметрами, раз такое дело

Или вообще двоично патчить с помощью, например, SFK.EXE - те значения в хидере по фиксированным адресам.



| Сообщение посчитали полезным:

да то само собой что добавил вызовы
но ос версион как то маловато
поиграйся с параметрами по выше
в норме народ пишет по форумам что одной только сабсистем 4 хватает

| Сообщение посчитали полезным:

Ну, попробую дома. На работе семёрка.

| Сообщение посчитали полезным:

reversecode пишет:
ну теперь можно и цвета поменять
и панельку справа или слева отконфигурить
угу....поменял. а вот с панелькой пока засада..не нашёл.
имхо комфортней за инфо смотреть слево на право.
есть код, есть команды, есть исполнение, результ всегда справо.
с дампом хз..тупо дамп мало. у эксодиа хорошая идея, под дизом + закладки для карты памяти.
к шрифтам можно и привыкнуть..
это весь сдк, или что то ещё есть?
понятно что точить ещё много, но гуй лёгкий, это грамотная тема, кьют меня давно напрягает.
а альтернативы нет. виндбг не юзаю.
в общем следим и удачи.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

options - debugger - monitor position - right - apply
да и карты итд конечно хочется
но пока ударение только явные краши и дев x64
дальше удар на linux ring3 win ring0
а может и сорс левел
так что красивости и удобности по наличию времени

сдк хз
предлагайте
в папках есть старый plugins.hpp
он же актуальный и на текущий момент

| Сообщение посчитали полезным:

reversecode пишет:
яша ну какой год два ?
Простите, бегло пробежался, сильно не вчитывался.
А такой ещё вопрос.
Это всё ручная работа? Или автоматика на IDC или Питоне.
Очень интересно как Вы всё это делаете.

| Сообщение посчитали полезным: dma/sty

idc только одноразово для вытягивания таблиц дизассемблера
все остальное ручная
как вообще можно автоматизировать что бы сначала понять что за тип за указателем
потом создать структуру на этот тип
понять какого она размера
выставить с ней указатели или создать массивы итд
да еще и имя ей придумать
или как раскручивать закрученные оптимизированные условия и циклы ?
только руками и головой

| Сообщение посчитали полезным: dma/sty, yashechka

reversecode пишет:
options - debugger - monitor position - right - apply
закинь свежий сфг, у меня нет этого в опциях, хотя раскрасочки есть.
reversecode пишет:
сдк хз
предлагайте
ну смотри скриптового двигла нет. хс ним. можно и написать.
но в хидере нет войдов для доступа к полям контролов (дизу_стеку_фпу_итд), пары ридврайт как то мало..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

на гитхаб всегда акутальная x32
x64 там старая 17 года

сриптовый двиг есть
help
help команда
все команды которые он может исполнять как командный bat файл
можно добавлять новые команды

либо через апи добавить новую команду и добавить вообще свой сценарий

фпу ммх пока не реализован
если будет реализован до доступ к нему такой же как и через другие регистры по имени в експрешине
virtual bool CalcExp(const WCHAR *szExp, unsigned long *pResult) = 0;
где имя или експрешин и будет результат регистра или результат с регистром

Добавлено спустя 39 минут
дизасм можно вытянуть
но надо понять что из него важно
а то плохая инкапсуляция, впоследствии много ошибок
а апи менять туда сюда не рекомендуется в совтфаре дев

| Сообщение посчитали полезным: Bronco

1byte mem bp?

| Сообщение посчитали полезным:

ну да есть
а что разве не работает ?

Добавлено спустя 1 минуту
help bpmb

| Сообщение посчитали полезным: friend

reversecode пишет:
дизасм можно вытянуть
но надо понять что из него важно
доступ к адресам, опкодам, и листингу.
ридврайт внтури процесса (мемкпу), или как у диа снаружи (W_R_ProcessMemory)?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

read/write к отлиживаемому процессу и так в апи есть
virtual unsigned long WriteMemory(unsigned long Address, void *Buffer, unsigned long Size) = 0;
virtual unsigned long ReadMemory(unsigned long Address, void *Buffer, unsigned long Size) = 0;

адрес, опкоды, листинг тот что выдает команда cv ? можно будет выставить в апи
вопрос только в том хватит брать того что стекущего в листинге
или нужно брать рав доступ по любому адресу который сейчас не в листинге

>open syserx32.exe
>cv
011AEC73 E8 B0050000 CALL 011AF228
011AEC78 E9 7AFEFFFF JMP 011AEAF7
011AEC7D 55 PUSH EBP
011AEC7E 8B EC MOV EBP,ESP
011AEC80 81 EC 24030000 SUB ESP,324
011AEC86 53 PUSH EBX
011AEC87 6A 17 PUSH 17
011AEC89 E8 80690100 CALL IsProcessorFeaturePresent
011AEC8E 85 C0 TEST EAX,EAX
011AEC90 74 05 JZ 011AEC97
011AEC92 8B 4D 08 MOV ECX,DWORD PTR [EBP+8]
011AEC95 CD 29 INT 29
011AEC97 6A 03 PUSH 3
011AEC99 E8 D4010000 CALL 011AEE72
011AEC9E C7 04 24 CC020000 MOV DWORD PTR [ESP],2CC
011AECA5 8D 85 DCFCFFFF LEA EAX,[EBP-324]
011AECAB 6A 00 PUSH 0
011AECAD 50 PUSH EAX
011AECAE E8 7D0B0000 CALL 011AF830
011AECB3 83 C4 0C ADD ESP,C
011AECB6 89 85 8CFDFFFF MOV DWORD PTR [EBP-274],EAX
>

| Сообщение посчитали полезным:

reversecode пишет:
и так в апи есть
я видел, но это же обёртка, только над чем?
у диа с системной апи дикие тормоза, её часто юзать нельзя. если внутри процесса, то сишная на ура.
рав доступ по любому адресу, и не только образа.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

а ну да для ring3 это обертка над системными read/write processmemory
после write еще флуш инстр кеш

Добавлено спустя 3 минуты
если вывода диза в тексте как выше будет достаточно то ок
вход адрес и буфер вывода
после вызова инструкции
и длинна
по длине опкоды из начального адреса можно будет рид мемори прочитать

просто тянуть кишки всего дизасма со структурой опков итд пока нет желания

Добавлено спустя 5 минут
дебагер не только выставляет эти апи
он им сам пользуется
практически все управление идет через это апи внутри

| Сообщение посчитали полезным:

reversecode пишет:
в норме народ пишет по форумам что одной только сабсистем 4 хватает


Как ни странно, в WinXP работает такое:
/OSVERSION:6.0 /SUBSYSTEM:WINDOWS,5.0

Просто /SUBSYSTEM:WINDOWS,4.0 это для Win9x.
Что же касается /OSVERSION: , то непонятно, влияет ли оно вообще на что-то
Ставил /OSVERSION:10.0 - работает



| Сообщение посчитали полезным:

0030 210320
- allow run on winxp
- fix crash when close debugger with many windows
- disable change IF EFLAGS
- disable edit segment reg/base
- fix color ADDR in codeview
- reimplement colors update settings

1153 210320
- alpha build x64

Добавлено спустя 1 минуту
pe64 плоховато парсит импорт и експорт
поэтому символы в дизе пустые или кривоваты пока еще

| Сообщение посчитали полезным:

а чем вам не нравится вот этот https://github.com/yrp604/hyperdbg у кого нибудь он заработал?

| Сообщение посчитали полезным:

там графической гуи нет
поэтому он никому и не нравится

| Сообщение посчитали полезным: sdk4

sdk4 пишет:
а чем вам не нравится вот этот https://github.com/yrp604/hyperdbg

А еще тем, что про реверсинг там ни одного упоминания нет, а в этом треде реверсер прямо у вас "перед носом". Яша вчера даже вопросы задавал из серии: как это делается и насколько это сложно? Вы можете тоже последовать его примеру. Хотя, вам, скорее всего, более интересней темы о том, как можно освещать и отапливать, целый год, дом от одной 1,5 вольтовой батарейки.

| Сообщение посчитали полезным:

reversecode

Графика это меньшее что нужно отладчику. В общем ядерный отладчик это инструмент не для ньюби и гуй там вовсе не нужен, разве что минимальный диз смотреть, контекст и память. Остальная работа проще через командный интерфейс.

-----
vx

| Сообщение посчитали полезным:

Правильно


| Сообщение посчитали полезным: difexacaw

_MBK_

Ты удивишся что работа с апп идёт через чёрную консоль, сейчас юзер отладчик не нужен, используются куда более эффективные инструменты(dbi). Юзер дебаг пользуются в основном для просмотра диза, но не для отладки. Сам виндовый отладочный механизм deprecated.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
используются куда более эффективные инструменты(dbi)

Инди, вы сами себе противоречите. Не так давно, вы утверждали, что DBI - это полное г#но. Или вы сейчас про свой визор-dbi?

| Сообщение посчитали полезным:

dma/sty

Я не говорил про штатные, они действительно крэп.

> Или вы сейчас про свой визор-dbi?

Если получится реализовать реалтайм юзер визор с линейной сборкой в памяти, тогда это покроет тут все задачи и отладчик не будет нужен в принципе. Но это уже совсем иная тема

-----
vx

| Сообщение посчитали полезным:

вот еще Cool Debugger for Win32 .Insight Debugger Win32. Zeta Debugger. может кому понравятся dma/sty пишет:
Хотя, вам, скорее всего, более интересней темы о том, как можно освещать и отапливать, целый год, дом от одной 1,5 вольтовой батарейки.
не я это сказал а вы наверно простой Житель Ищуший Деньги ?

| Сообщение посчитали полезным:

difexacaw пишет:
Если получится реализовать реалтайм юзер визор с линейной сборкой в памяти, тогда это покроет тут все задачи и отладчик не будет нужен в принципе. Но это уже совсем иная тема

А, ну, то есть, в ближайшие 20 лет - отладчики еще будут актуальны и труды reversecode - не пропадут даром?

| Сообщение посчитали полезным: