Debugger x64dbg отладчик

[Rio]

Актуальные ссылки:

sourceforge.net
http://x64dbg.com
https://github.com/x64dbg/x64dbg
scyllahide

Документациия по отладчику - https://github.com/x64dbg/docs
Новый проект от Mr.eXoDia и др.

Features:

Open-source
Intuitive and familiar, yet new user interface
C-like expression parser
Full-featured debugging of DLL and EXE files (TitanEngine)
IDA-like sidebar with jump arrows
IDA-like instruction token highlighter (highlight registers etc.)
Memory map
Symbol view
Thread view
Content-sensitive register view
Fully customizable color scheme
Dynamically recognize modules and strings
Import reconstructor integrated (Scylla)
Fast disassembler (BeaEngine)
User database (JSON) for comments, labels, bookmarks etc.
Plugin support with growing API
Extendable, debuggable scripting language for automation
Multi-datatype memory dump
Basic debug symbol (PDB) support
Dynamic stack view
Built-in assembler (XEDParse)
View your patches and save them to disk
Built-in hex editor
Find patterns in memory

x64dbg отладчик - Оффтоп ​

 

[0101]

Работает, но подвисает). Похоже, грузится в фоновом режиме и чем больше exe, тем дольше грузится - смотрите по загрузке ЦП: как x64dbg перестанет грузить ЦП, так запускайте плагин. Работает тоже не мгновенно, у меня на 4х ядрах подвисания по 10 секунд. Но IDA тоже долго думает..
п.с. от той же фирмы есть интересный продукт "MapoEngine", но только демка..
https://maposafe.com/static/Release/MapoEngine Free v2.2.0.zip

 

[BfoX]

прив,
вопрос - последняя сборка для работы на х32 ХР?

 

[2nd]

вопрос - последняя сборка для работы на х32 ХР?

текущая сборка отладчика snapshot_2021-11-03_11-01.zip
запускается на WinXP.

 

[BfoX]

я уточнил хр сп2 - на нем

 

[sendersu]

Надо СП3

 

[2nd]

я уточнил хр сп2 - на нем

snapshot_2016-09-10_09-36

 

[Bronco]

ща начнётся - посохи_варешки_олени. кто нибудь смотрел как это отключить_вырезать?

 

[vatra_man]

x64dbg.ini

[Misc]
NoSeasons=1

 

[Bronco]

[Misc]
NoSeasons=1

супер..))

 

[_MBK_]

Плиз, подскажите кто нибудь правильный синтаксис команды SetBreakpointLog/bplog/bpl а то себе уж весь мозг сломал
Делаю bpl 7FFD67CA7047, "My fucking breakpoint" говорит "Точки останова «7FFD67CA7047» не существует"
ладно делаю
bp 7FFD67CA7047, "111"
bpl "111", "My fucking breakpoint"
точку создает но текст на нее назначать не хочет "Невозможно установить текст журнала на точку останова "111"

Как правильно это делать и можно ли вообще? И существует ли в природе нормальная дока по командам x64dbg с примерами, не настолько чудовищно тупорылая как эта?

 

[Indy]

Может WD ?

Им ядро отлаживают, так что стабилен.

 

[f13nd]

bp 7FFD67CA7047, "111"
bpl "111", "My fucking breakpoint"

SetBreakpointLog/bplog/bpl
Sets log text when a software breakpoint is hit. When log condition is not specified, it will always be logged regardless of the break condition, otherwise it will be logged when the logging condition is satisfied.

arguments
arg1 The address of the breakpoint.
[arg2] The log format string (see introduction/formatting).

bp 7FFD67CA7047, "111"
bpl 7FFD67CA7047, "My fucking breakpoint"

 

[_MBK_]

bp 7FFD67CA7047, "111"
bpl 7FFD67CA7047, "My fucking breakpoint"

YESSSSS!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Но это было охренительно неочевидно

 

[_MBK_]

А можно второй параметр условия bplogcondition читать из переменной?
Например в условии
bplogcondition ref.addr(i)+18, [rsp] < 7FFD67BA7B20
вместо 7FFD67BA7B20 подставить значение ref.addr(0)

 

[f13nd]

А можно второй параметр условия bplogcondition читать из переменной?
Например в условии
bplogcondition ref.addr(i)+18, [rsp] < 7FFD67BA7B20
вместо 7FFD67BA7B20 подставить значение ref.addr(0)

Скорей всего всё, что приведено в разделах Expressions и Expression Functions, можно использовать.

 

[DMA/STY]

Еще один попутный вопросик подкину:

На окошке диалога две кнопки (Go) и (Close).
У (Go) : Window Handle: 0x0067089E и GWL_ID 0x65 (101)
У (Close) : Window Handle: 0x00550862 и GWL_ID 0x02 (2)

Можно ли как-то грамотно и оперативно найти код, который назначен на каждую из кнопок. Т.е. код который срабатывает при нажатии. Я так предполагаю, что нужно поставить условный BP и по нему уже как-то сориентироваться где начало, а где окончание.

В той же IDA, это все как-то более-менее интуитивно можно сообразить, а вот в x64Dbg что-то не получается.
Может кто просветит ученика церковно-приходского ПТУ?

https://cracklab.team/index.php?attachments/690/

 

[_MBK_]

Скорей всего всё, что приведено в разделах Expressions и Expression Functions, можно использовать.

А как? У меня в условие точки второй аргумент всегда дословно ставится, как ни пробую

Можно ли как-то грамотно и оперативно найти код, который назначен на каждую из кнопок.

Ну вам же написали уже, универсального решения нет, все зависит от реализации обработчика событий в конкретном компиляторе. По моему, оперативнее всего искать по контексту происходящего по нажатию Go и Close

 

[DMA/STY]

Ну вам же написали уже, универсального решения нет, все зависит от реализации обработчика событий в конкретном компиляторе.

Может это на каком-то другом форуме писали, здесь я, вроде, такого не читал. Ну процитируете, если что.

Я вот это утверждение помню, а другие, если может и были, то я их, видимо, принял за шутки.

Любое сообщение можно перехватить, главное знать как!

Т.е. по-вашему, если мне нужно перехватить что-то типа ( WM_COMMAND: 0x0111 или WM_LBUTTONUP: 0x0202 ), то какой-то компилятор с этим справится, а какой-то нет, что ли? Или какой-нибудь компилятор может так запрятать это событие, что его и не найти? Может это вы какие-то одни события из жизни перепутали с другими?

 

[DX0]

Может это на каком-то другом форуме писали, здесь я, вроде, такого не читал. Ну процитируете, если что.

Я вот это утверждение помню, а другие, если может и были, то я их, видимо, принял за шутки.


Т.е. по-вашему, если мне нужно перехватить что-то типа ( WM_COMMAND: 0x0111 или WM_LBUTTONUP: 0x0202 ), то какой-то компилятор с этим справится, а какой-то нет, что ли? Или какой-нибудь компилятор может так запрятать это событие, что его и не найти? Может это вы какие-то одни события из жизни перепутали с другими?

Какой-то бред ты написал, если честно. Никакой компилятор неспрячит событие, потому как это WinAPI и программы этим пользуются, потому как это, еще раз повторяю, это WinAPI.

 

[DMA/STY]

P.S. Немного добавлю для ясности: я понимаю, что такое само событие, ну скажем ( WM_LBUTTONUP: 0x0202 ) и его обработчик. Я все к тому, что если отловить само событие, то и его обрабочик уже считай в "кармане". Ну не должен он быть где-то за "100 км". Т.е. мне нужна информация - как поставить BP на событие и отловить его, а сам обработчик(код который выполняется в ответ на событие/нажатие) - это уже дело техники. Т.е. таким образом все равно сужается/ускоряется место поиска и упрощается работа.

P.P.S. Ну, вроде, теперь должно быть понятнее.