Вывести трассу вызовов DLL?

Тема в разделе "WASM.RESEARCH", создана пользователем Rel, 19 янв 2019.

  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Ты всегда отличался отсутствием какой то логики в утверждениях. Поэтому вопрос ожидаемо бредовый:

    > чем твой визор лучше или эффективнее или что там? в сравнении с алгоритмами тех же DBI

    Переформулируй что ле. Как связаны алгоритмы, эффективность и доказанная надёжность разных апп я хз. Что бы такое понять наверно нужно вдуть то, чем ты долбишься.

    А есчо если ты думаешь что я тебе первое сообщение написал, то ты глупый тогда совсем. Я знаю твои ответы наизусть, это был ответ не тебе. Тут новые люди, у которых есть интерес, это важно.
    --- Сообщение объединено, 4 фев 2019 ---
    q2e74,

    Чувак, ты удивишься что ядро нт под каждую разрядность пишется на асм(фундамент его - работа с ловушками). Просто потому что никакой иной яп для такой обработки не годится.
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Indy_, ну что и требовалось доказать... выходит, твой визор - никому не нужная поделка...
     
  3. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Indy_, хамство Rel'у скиллов новым людям не прибавляет. Не красиво, родной(с)кин-дза-дза
     
  4. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    хамством на хамство:
     
  5. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Rel, я считаю, конкретно в этом треде хамил Indy_, причем на ровном месте. Ты видимо не с той интонацией прочитал мое сообщение.
     
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    да, так и есть)... сорян...
     
  7. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    визор решает задачи целостности кода (и даже полиморфа), ведь так? Если да, то DBI немного оверхед для этого. Разве нет?
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    я думаю, что Инде - чуть ли ни единственный человек, который понимает, какие поделки какие задачи решают...

    в зависимости от того, как DBI реализован... в принципе из DBI фреймворков можно взять, допустим, только инжект и сплайсинг... но такие простые вещи можно и руками за часок запилить...
    --- Сообщение объединено, 4 фев 2019 ---
    просто тот же интел пин хорош в плане JIT-рекомпиляции кода, это интересно, но не всегда необходимо для решения задачи...
     
  9. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Процетирую
    Дело же не в DBI, дело в цепочки приемов которые использует Indy_, но разобрать которые нам очевидно мешает лень, хочется что бы Indy_ взял и на пальцах объяснил. Но и его понять можно, ведь локаничнее чем сам код не расскажешь.
     
    vx1d нравится это.
  10. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    я думаю, тут дело больше в гнусном характере пациента... мне даже не особо хочется в это все вникать после общения с ним на форуме... возможно это искусственное ограничение порога вхождения в его мего-илитные алгоритмы, но какая мне разница? я лучше буду использовать нормальные проекты, чем разгребать чужой недокументированный гуан под олдскульных x86... потом еще некие персонажи здесь (возможно его виртуалы) удивляются, мол почему я его троллю постоянно здесь... так потому, что с ним не возможно нормально разговаривать, можно только лулзы с него получать...
     
  11. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Rel, не соглашусь. Придумать что-то, чего раньше не встречал, чистое творчество. Даже если это кто-то придумал до Indy_, ситуации не меняет. Вообще, я считаю, что истинное понимание дает изучение истории формирования, а не быстрое понимание того как переиспользовать. Это просто разное восприятие, идущее от разных целей и ценностей.
     
  12. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    q2e74,

    Я описал свои мысли в 4-х публикациях кратко, вы не внимательно читали.

    То что тут пишет рел, полная чушь. Мотор работает во всей 86 линейке и это единственный двигатель, пригодный для анализа протекторов/пакеров и прочего подобного; вся эта куча dbi не пригодна вообще не для чего. Тесты смотри на кл, там было длительное обсуждение, одна из многих тем https://exelab.ru/f/index.php?action=vthread&forum=6&topic=25429&page=0

    А есчо есть разработки по оптимизации, там то же темы есть. Это позволяет запустить апп под монитором(dye) в юзермод с реалтайм профайлом. Проработаны алгоритмы, но не реализовано, так как это перебила тема пакеров.

    > взял и на пальцах объяснил

    Ты не первый кто это желает. Я это никогда не сделаю, те я не буду ничего обьяснять, пока ты не разберёшься в том что есть. Если я увижу действительно проделанную работу и какой то тупик, когда нужна помощь, я помогу чем смогу. А иначе никак.
     
    q2e74 нравится это.
  14. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    https://github.com/Phat3/PINdemonium

    http://drmemory.org/
    http://drmemory.org/strace_for_windows.html
    http://dynamorio.org/docs/page_drcov.html
    http://dynamorio.org/docs/page_drltrace.html
     
    q2e74 нравится это.
  15. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Тут ничего не реверсят и отлаживают. Дай эту рекламу на кряклабе. Если бы работало, давно бы уже использовали.
     
  16. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    люди то стонут от того, что не могут запустить то что есть :) вот стартуем батник, и ерроры, не находит dye.obj . MASM /L dye.asm отрабатывает с ошибкой, не к чему LINK
    --- Сообщение объединено, 4 фев 2019 ---
    Hdr.inc кидаем в искомую папку, но жалобы не проходят
     
  17. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    как и странные Инде моторы... если бы работало, то давно бы уже использовали...
     
    vx1d нравится это.
  18. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Rel, есть в архиве две dll'ки и exe'шник . Очень маленькие. В идапро все красиво, файл символов приложен. А екзешник очень маленький, с расскиданными int3. Давай исходить из слов Indy_, что эта штука - мотор для анализа пакеров. Вот у нас есть upx_somecode.exe. Как это должно работать? Общая схема? Запускаем и инжектим dll-ку? Или запускаем екзешник с параметром upx_somecode.exe?
    --- Сообщение объединено, 5 фев 2019 ---
    "Апп что угодно делает в памяти; цель - выделить EP."
    Ага, значит имеем запущенный апп, и ...
    "Срабатывает ловушка, ядро передаёт управление на Ki*Entry. С этого места происходит вход в визор и с этого места апп выполняется в контролируемой среде."
    Ловушки в екзешнике из архива, как говориться, на лицо.

    Rel, Как это должно работать? Общая схема?
     
  19. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    эммм... я то тут при чем? или ты хочешь, чтобы я в этом гуано покопался и все тебе объяснил?
    --- Сообщение объединено, 5 фев 2019 ---
    по сабжу: надо идти регаться на exelab, а то там Инде совсем не тролленный... скучает наверное...
     
  20. sty

    sty Member

    Публикаций:
    0
    Регистрация:
    2 фев 2019
    Сообщения:
    102
    Что-то q2e74 где-то пропал, наверно, удалось ему все-же запустить секретный Indy_-визор. Теперь, видимо, размышляет над тем, что стоит ли ему делится этой информацией с общественностью или нет :).