Вывести трассу вызовов DLL?

Rel,

Ты всегда отличался отсутствием какой то логики в утверждениях. Поэтому вопрос ожидаемо бредовый:

> чем твой визор лучше или эффективнее или что там? в сравнении с алгоритмами тех же DBI

Переформулируй что ле. Как связаны алгоритмы, эффективность и доказанная надёжность разных апп я хз. Что бы такое понять наверно нужно вдуть то, чем ты долбишься.

А есчо если ты думаешь что я тебе первое сообщение написал, то ты глупый тогда совсем. Я знаю твои ответы наизусть, это был ответ не тебе. Тут новые люди, у которых есть интерес, это важно.

--- Сообщение объединено, 4 фев 2019 ---

q2e74,

Чувак, ты удивишься что ядро нт под каждую разрядность пишется на асм(фундамент его - работа с ловушками). Просто потому что никакой иной яп для такой обработки не годится.

 

Indy_, ну что и требовалось доказать... выходит, твой визор - никому не нужная поделка...

 

Indy_, хамство Rel'у скиллов новым людям не прибавляет. Не красиво, родной(с)кин-дза-дза

 

хамством на хамство:

 

Rel, я считаю, конкретно в этом треде хамил Indy_, причем на ровном месте. Ты видимо не с той интонацией прочитал мое сообщение.

 

да, так и есть)... сорян...

 

визор решает задачи целостности кода (и даже полиморфа), ведь так? Если да, то DBI немного оверхед для этого. Разве нет?

 

я думаю, что Инде - чуть ли ни единственный человек, который понимает, какие поделки какие задачи решают...

в зависимости от того, как DBI реализован... в принципе из DBI фреймворков можно взять, допустим, только инжект и сплайсинг... но такие простые вещи можно и руками за часок запилить...

--- Сообщение объединено, 4 фев 2019 ---

просто тот же интел пин хорош в плане JIT-рекомпиляции кода, это интересно, но не всегда необходимо для решения задачи...

 

Процетирую

Дело же не в DBI, дело в цепочки приемов которые использует Indy_, но разобрать которые нам очевидно мешает лень, хочется что бы Indy_ взял и на пальцах объяснил. Но и его понять можно, ведь локаничнее чем сам код не расскажешь.

 

я думаю, тут дело больше в гнусном характере пациента... мне даже не особо хочется в это все вникать после общения с ним на форуме... возможно это искусственное ограничение порога вхождения в его мего-илитные алгоритмы, но какая мне разница? я лучше буду использовать нормальные проекты, чем разгребать чужой недокументированный гуан под олдскульных x86... потом еще некие персонажи здесь (возможно его виртуалы) удивляются, мол почему я его троллю постоянно здесь... так потому, что с ним не возможно нормально разговаривать, можно только лулзы с него получать...

 

Rel, не соглашусь. Придумать что-то, чего раньше не встречал, чистое творчество. Даже если это кто-то придумал до Indy_, ситуации не меняет. Вообще, я считаю, что истинное понимание дает изучение истории формирования, а не быстрое понимание того как переиспользовать. Это просто разное восприятие, идущее от разных целей и ценностей.

 

кстати, пока погружался в тему нашел интересный хукинг фреймворк: https://www.nektra.com/products/deviare-api-hook-windows/

 

q2e74,

Я описал свои мысли в 4-х публикациях кратко, вы не внимательно читали.

То что тут пишет рел, полная чушь. Мотор работает во всей 86 линейке и это единственный двигатель, пригодный для анализа протекторов/пакеров и прочего подобного; вся эта куча dbi не пригодна вообще не для чего. Тесты смотри на кл, там было длительное обсуждение, одна из многих тем https://exelab.ru/f/index.php?action=vthread&forum=6&topic=25429&page=0

А есчо есть разработки по оптимизации, там то же темы есть. Это позволяет запустить апп под монитором(dye) в юзермод с реалтайм профайлом. Проработаны алгоритмы, но не реализовано, так как это перебила тема пакеров.

> взял и на пальцах объяснил

Ты не первый кто это желает. Я это никогда не сделаю, те я не буду ничего обьяснять, пока ты не разберёшься в том что есть. Если я увижу действительно проделанную работу и какой то тупик, когда нужна помощь, я помогу чем смогу. А иначе никак.

 

https://github.com/Phat3/PINdemonium

http://drmemory.org/
http://drmemory.org/strace_for_windows.html
http://dynamorio.org/docs/page_drcov.html
http://dynamorio.org/docs/page_drltrace.html

 

Rel,

Тут ничего не реверсят и отлаживают. Дай эту рекламу на кряклабе. Если бы работало, давно бы уже использовали.

 

люди то стонут от того, что не могут запустить то что есть вот стартуем батник, и ерроры, не находит dye.obj . MASM /L dye.asm отрабатывает с ошибкой, не к чему LINK

--- Сообщение объединено, 4 фев 2019 ---

Hdr.inc кидаем в искомую папку, но жалобы не проходят

 

как и странные Инде моторы... если бы работало, то давно бы уже использовали...

 

Rel, есть в архиве две dll'ки и exe'шник . Очень маленькие. В идапро все красиво, файл символов приложен. А екзешник очень маленький, с расскиданными int3. Давай исходить из слов Indy_, что эта штука - мотор для анализа пакеров. Вот у нас есть upx_somecode.exe. Как это должно работать? Общая схема? Запускаем и инжектим dll-ку? Или запускаем екзешник с параметром upx_somecode.exe?

--- Сообщение объединено, 5 фев 2019 ---

"Апп что угодно делает в памяти; цель - выделить EP."
Ага, значит имеем запущенный апп, и ...
"Срабатывает ловушка, ядро передаёт управление на Ki*Entry. С этого места происходит вход в визор и с этого места апп выполняется в контролируемой среде."
Ловушки в екзешнике из архива, как говориться, на лицо.

Rel, Как это должно работать? Общая схема?

 

эммм... я то тут при чем? или ты хочешь, чтобы я в этом гуано покопался и все тебе объяснил?

--- Сообщение объединено, 5 фев 2019 ---

по сабжу: надо идти регаться на exelab, а то там Инде совсем не тролленный... скучает наверное...

 

Что-то q2e74 где-то пропал, наверно, удалось ему все-же запустить секретный Indy_-визор. Теперь, видимо, размышляет над тем, что стоит ли ему делится этой информацией с общественностью или нет .