Посоветуйте отладчик

Тема в разделе "WASM.RESEARCH", создана пользователем Guest, 7 апр 2006.

  1. Guest

    Guest Guest

    Публикаций:
    0
    Сабж, чтобы позволял отлаживать не только в своем процессе но и в чужом, мой инжектированый код, SI не предлагайте, т.к. он не совместим с моим ноутбуком.

    ОС ХР СП2
     
  2. Bozar

    Bozar New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    24
    я делал так, ставил jmp $ в инжект, запускал,

    ну и открывал процесс на "debug" в олли(оля прописана как сис отладчик), либо File>Attack>.. Ну а там уже ловишь. Если треад единственный просто жми пауза, коли нет - смотри на самый активный треад. Ставь бряк на мемори треада. тупа, но так на пальцах. надо поспать =)
     
  3. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    Corleone

    А новую игрушку, вроде Syser называется пробовал?
     
  4. Bozar

    Bozar New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    24


    а смысл ? я не думаю что она поодерживает такой механизм.
     
  5. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    >я не думаю

    А разве уверен и не думаю, одинаковые понятия?
     
  6. Bozar

    Bozar New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    24
    "не думаю", значит в большей степени склоняюсь к тому что такого нету.

    Подумайте, имеет ли смысл отладчику поддерживать такую фичу ?
     
  7. _BC_

    _BC_ БЦ

    Публикаций:
    0
    Регистрация:
    20 янв 2005
    Сообщения:
    759




    Положи руки под пресс (2 раза, по вертикали и по горизонтали) и ставь SoftICE. Или возьми любой отладчик с фичей 'Attach to process'.
     
  8. Guest

    Guest Guest

    Публикаций:
    0
    _BC_

    Блин да говорят же тебе что не ставится, делается все как на креклаб в инструкции написано! Разные дистрибутивы и т.д., аверов и фаеров не стоит! Так что уж лучше язык тебе под пресс =)



    Ладно шутки в сторону, будем искать)
     
  9. _BC_

    _BC_ БЦ

    Публикаций:
    0
    Регистрация:
    20 янв 2005
    Сообщения:
    759
    Неработающий SoftICE -- отличительный признак кряклабовца. ;)

    P.S. "оля" должна аттачиться к др. процессам (и она как раз популярна на кряклабе).
     
  10. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"
    Отлаживать инжект код в оле - это попахивает мазохизмом.

    Уж лучше денек помучиться с прессом и получить рабочий айс.
     
  11. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    Не понял чем OllyDbg не устраивает?
     
  12. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    Тем, что не умет отлаживать процессы на ранней стадии запуска (задолго до точки входа екзешника), не умеет дебажить системные процессы (lsass, winlogon, services), не умеет дебажить дрова.

    Собственно применение оли ограничивается только отладкой юзермодного кода после точки входа екзешника и атачем к уже работающим несистемным процессам.
     
  13. Bozar

    Bozar New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    24


    Руки значит растут у вас не из того места



    гыгы нашли с чем сравнивать, да и в контекст вопроса это не входит.

    При отладки ринг3 приложений лучшего нету, проверенное мнение.
     
  14. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    У меня руки растут оттуда откуда надо, а насчет ваших рук я как-то не уверен :)

    Допустим процесс explorer.exe запускает notepad.exe. После создания процесса происходит запуск его нервого потока с помощью ZwCreateThread.

    Первый вопрос: как начать отлаживать этот поток олей с точки его старта?







    Вопрос звучит как "чтобы позволял отлаживать не только в своем процессе но и в чужом, мой инжектированый код". В большинстве руткитов часто возникает задача отлаживать код работающий на ранней стадии загрузки системы внутри системных процессов.

    Второй вопрос: как мне с помощью оли отлаживать код который начинает исполняться в процессе winlogon.exe на стадии загрузки системы предшествующей входу пользователя.



    Ты сначала ответь на эти два вопроса (дай конкретные рекомендации по отладке в таких ситуациях) и потом рассуждай о том откуда у меня растут руки.

    Причем напоминаю, что ситуации эти не взяты от балды, а это то с чем я лично сталкивался при отладке инжект кода.
     
  15. Bozar

    Bozar New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    24
    Давай будем до конца логичными:

    1:




    ни о каком дебажинье системного кода речи не было.
     
  16. Bozar

    Bozar New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    24
    2:


    никак >;(
     
  17. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    Ну а если я делаю инжект во время запуска процесса и меняю стартовый адрес первого потока? Это один из часто применяемых мной приемов, и относиться он к отладке инжект кода (о которой был собственно вопрос).

    На вопрос ты не ответил, и получается что мое утверждение о невозможности отладки процесса на ранних стадиях запуска верно.





    Что и требовалось доказать. А между прочим этот вопрос имел непосредственное отношение к отладке инжект кода.



    Так что вместо того чтобы в следующий раз кричать что у меня руки криаые, лучше воспользуйся советом _BC_, только прессуй не по 2, а по 4 раза, иначе не поможет :))
     
  18. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    но тем не менее, OllyDbg позволяет отлаживать код до точки входа, при непосредственном запуске под отладчиком целевого приложения

    Debugging options->Events->Make first pause at: System breakpoint
     
  19. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    Но при отладке инжект кода это часто невозможно.
     
  20. Guest

    Guest Guest

    Публикаций:
    0
    Ладно блин придется идти на рынок за огромным <font size=15>Прессом</font><!--size-->. Буду опять мучать айс!