Сейчас на форуме: Lohmaty, tyns777, cppasm (+7 невидимых)

 eXeL@B —› Вопросы новичков —› X64DBG
Посл.ответ Сообщение

Ранг: 14.3 (новичок), 5thx
Активность: 0.070
Статус: Участник

 Создано: 21 марта 2018 21:03
· Личное сообщение · #1

Здравствуй в который раз))) Возникает несколько вопросов по дебагеру.
1) Какой топовый движок для деба и как его менять?
2) Все также ломает листинг при прокрутке колесика мыши причем на почти любом проте и пакере. Есть ли решение? В аттаче.
3) Какие плагины самые полезные по твоему для деба?
4) Возможно ли просмотреть ПЕ хидер в дампе как в ольке?
5) Поиск stolen byte как ты говорил по команде hr esp-4 (bphws esp-4) останавливаеться совсем не там где нужно. Скрины тоже в аттаче. Будут предложения по этому поводу?
Простите за беспокойство потому что только учусь и большинство статей и проблем на английском)
Буду рад помощи от гуру!

e1cd_21.03.2018_EXELAB.rU.tgz - аттач.zip



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 21 марта 2018 21:21 · Поправил: SDK
· Личное сообщение · #2

пока что ответов нет спрошу у знающих ,(в этой ветке дабы не плодить темы)
подскажите что тут у нас за расчёты происходят
Code:
  1. 004747B0    64:FF32         PUSH DWORD PTR FS:[EDX]
  2. 004747B3    64:8922         MOV DWORD PTR FS:[EDX],ESP
  3. 004747B6    6A 00           PUSH 0
  4. 004747B8    6A 00           PUSH 0
  5. 004747BA    68 00B00000     PUSH 0B000
  6. 004747BF    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  7. 004747C2    E8 BD9CFEFF     CALL unpacked.0045E484
  8. 004747C7    50              PUSH EAX
  9. 004747C8    E8 1F2CF9FF     CALL unpacked.004073EC                   ; JMP to USER32.SendMessageA
  10. 004747CD    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  11. 004747D0    33D2            XOR EDX,EDX
  12. 004747D2    8990 4C020000   MOV DWORD PTR DS:[EAX+24C],EDX
  13. 004747D8    A1 C4BB4800     MOV EAX,DWORD PTR DS:[48BBC4]
  14. 004747DD    E8 6A320000     CALL unpacked.00477A4C
  15. 004747E2    A1 C4BB4800     MOV EAX,DWORD PTR DS:[48BBC4]
  16. 004747E7    80B8 9C000000 0>CMP BYTE PTR DS:[EAX+9C],0
  17. 004747EE    74 0F           JE SHORT unpacked.004747FF
  18. 004747F0    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  19. 004747F3    C780 4C020000 0>MOV DWORD PTR DS:[EAX+24C],2
  20. 004747FD    EB 14           JMP SHORT unpacked.00474813
  21. 004747FF    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  22. 00474802    83B8 4C020000 0>CMP DWORD PTR DS:[EAX+24C],0
  23. 00474809    74 08           JE SHORT unpacked.00474813
  24. 0047480B    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  25. 0047480E    E8 1DFDFFFF     CALL unpacked.00474530
  26. 00474813    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  27. 00474816    8B80 4C020000   MOV EAX,DWORD PTR DS:[EAX+24C]
  28. 0047481C    85C0            TEST EAX,EAX
  29. 0047481E  ^ 74 B8           JE SHORT unpacked.004747D8
  30. 00474820    8945 F8         MOV DWORD PTR SS:[EBP-8],EAX
  31. 00474823    6A 00           PUSH 0
  32. 00474825    6A 00           PUSH 0
  33. 00474827    68 01B00000     PUSH 0B001
  34. 0047482C    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  35. 0047482F    E8 509CFEFF     CALL unpacked.0045E484
  36. 00474834    50              PUSH EAX
  37. 00474835    E8 B22BF9FF     CALL unpacked.004073EC                   ; JMP to USER32.SendMessageA
  38. 0047483A    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  39. 0047483D    E8 429CFEFF     CALL unpacked.0045E484
  40. 00474842    8BD8            MOV EBX,EAX
  41. 00474844    E8 CB28F9FF     CALL unpacked.00407114                   ; JMP to USER32.GetActiveWindow
  42. 00474849    3BD8            CMP EBX,EAX
  43. 0047484B    74 05           JE SHORT unpacked.00474852
  44. 0047484D    33C0            XOR EAX,EAX
  45. 0047484F    8945 E4         MOV DWORD PTR SS:[EBP-1C],EAX
  46. 00474852    33C0            XOR EAX,EAX
  47. 00474854    5A              POP EDX
  48. 00474855    59              POP ECX
  49. 00474856    59              POP ECX
  50. 00474857    64:8910         MOV DWORD PTR FS:[EAX],EDX
  51. 0047485A    68 6F484700     PUSH unpacked.0047486F
  52. 0047485F    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  53. 00474862    E8 61FDFFFF     CALL unpacked.004745C8
  54. 00474867    C3              RETN
  55. 00474868  ^ E9 BFF9F8FF     JMP unpacked.0040422C
  56. 0047486D  ^ EB F0           JMP SHORT unpacked.0047485F
  57. 0047486F    33C0            XOR EAX,EAX
  58. 00474871    5A              POP EDX
  59. 00474872    59              POP ECX
  60. 00474873    59              POP ECX
  61. 00474874    64:8910         MOV DWORD PTR FS:[EAX],EDX
  62. 00474877    68 13494700     PUSH unpacked.00474913
  63. 0047487C    A1 C8BB4800     MOV EAX,DWORD PTR DS:[48BBC8]
  64. 00474881    8B40 48         MOV EAX,DWORD PTR DS:[EAX+48]
  65. 00474884    3B45 E8         CMP EAX,DWORD PTR SS:[EBP-18]
  66. 00474887    75 10           JNZ SHORT unpacked.00474899
  67. 00474889    66:8B55 EE      MOV DX,WORD PTR SS:[EBP-12]
  68. 0047488D    A1 C8BB4800     MOV EAX,DWORD PTR DS:[48BBC8]
  69. 00474892    E8 01130000     CALL unpacked.00475B98
  70. 00474897    EB 0C           JMP SHORT unpacked.004748A5
  71. 00474899    33D2            XOR EDX,EDX
  72. 0047489B    A1 C8BB4800     MOV EAX,DWORD PTR DS:[48BBC8]
  73. 004748A0    E8 F3120000     CALL unpacked.00475B98
  74. 004748A5    8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]
  75. 004748A8    E8 43A2FFFF     CALL unpacked.0046EAF0
  76. 004748AD    A1 C8BB4800     MOV EAX,DWORD PTR DS:[48BBC8]
  77. 004748B2    8B58 7C         MOV EBX,DWORD PTR DS:[EAX+7C]
  78. 004748B5    837B 08 00      CMP DWORD PTR DS:[EBX+8],0
  79. 004748B9    7E 22           JLE SHORT unpacked.004748DD
  80. 004748BB    8BC3            MOV EAX,EBX
  81. 004748BD    E8 DA4AFAFF     CALL unpacked.0041939C
  82. 004748C2    8BF0            MOV ESI,EAX
  83. 004748C4    A1 C8BB4800     MOV EAX,DWORD PTR DS:[48BBC8]
  84. 004748C9    8970 78         MOV DWORD PTR DS:[EAX+78],ESI
  85. 004748CC    8BD6            MOV EDX,ESI
  86. 004748CE    A1 C8BB4800     MOV EAX,DWORD PTR DS:[48BBC8]
  87. 004748D3    8B40 7C         MOV EAX,DWORD PTR DS:[EAX+7C]
  88. 004748D6    E8 654CFAFF     CALL unpacked.00419540
  89. 004748DB    EB 0A           JMP SHORT unpacked.004748E7
  90. 004748DD    A1 C8BB4800     MOV EAX,DWORD PTR DS:[48BBC8]
  91. 004748E2    33D2            XOR EDX,EDX
  92. 004748E4    8950 78         MOV DWORD PTR DS:[EAX+78],EDX
  93. 004748E7    837D E4 00      CMP DWORD PTR SS:[EBP-1C],0
  94. 004748EB    74 09           JE SHORT unpacked.004748F6
  95. 004748ED    8B45 E4         MOV EAX,DWORD PTR SS:[EBP-1C]
  96. 004748F0    50              PUSH EAX
  97. 004748F1    E8 FE2AF9FF     CALL unpacked.004073F4                   ; JMP to USER32.SetActiveWindow
  98. 004748F6    8B45 F0         MOV EAX,DWORD PTR SS:[EBP-10]
  99. 004748F9    A3 789F4800     MOV DWORD PTR DS:[489F78],EAX
  100. 004748FE    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
  101. 00474901    80A0 F4020000 F>AND BYTE PTR DS:[EAX+2F4],0F7
  102. 00474908    C3              RETN
  103. 00474909  ^ E9 1EF9F8FF     JMP unpacked.0040422C
  104. 0047490E  ^ E9 69FFFFFF     JMP unpacked.0047487C
  105. 00474913    33C0            XOR EAX,EAX
  106. 00474915    5A              POP EDX
  107. 00474916    59              POP ECX
  108. 00474917    59              POP ECX
  109. 00474918    64:8910         MOV DWORD PTR FS:[EAX],EDX
  110. 0047491B    68 32494700     PUSH unpacked.00474932
  111. 00474920    A1 C4BB4800     MOV EAX,DWORD PTR DS:[48BBC4]
  112. 00474925    E8 B2220000     CALL unpacked.00476BDC
  113. 0047492A    C3              RETN
  114. 0047492B  ^ E9 FCF8F8FF     JMP unpacked.0040422C
  115. 00474930  ^ EB EE           JMP SHORT unpacked.00474920
  116. 00474932    33C0            XOR EAX,EAX
  117. 00474934    5A              POP EDX
  118. 00474935    59              POP ECX
  119. 00474936    59              POP ECX
  120. 00474937    64:8910         MOV DWORD PTR FS:[EAX],EDX
  121. 0047493A    68 4F494700     PUSH unpacked.0047494F
  122. 0047493F    8D45 E0         LEA EAX,DWORD PTR SS:[EBP-20]
  123. 00474942    E8 E1FEF8FF     CALL unpacked.00404828
  124. 00474947    C3              RETN
  125. 00474948  ^ E9 DFF8F8FF     JMP unpacked.0040422C
  126. 0047494D  ^ EB F0           JMP SHORT unpacked.0047493F
  127. 0047494F    8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
  128. 00474952    5E              POP ESI
  129.  
 eXeL@B —› Вопросы новичков —› X64DBG
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати