Посоветуйте отладчик

Сабж, чтобы позволял отлаживать не только в своем процессе но и в чужом, мой инжектированый код, SI не предлагайте, т.к. он не совместим с моим ноутбуком.

ОС ХР СП2

 

я делал так, ставил jmp $ в инжект, запускал,

ну и открывал процесс на "debug" в олли(оля прописана как сис отладчик), либо File>Attack>.. Ну а там уже ловишь. Если треад единственный просто жми пауза, коли нет - смотри на самый активный треад. Ставь бряк на мемори треада. тупа, но так на пальцах. надо поспать =)

 

Corleone

А новую игрушку, вроде Syser называется пробовал?

 

а смысл ? я не думаю что она поодерживает такой механизм.

 

>я не думаю

А разве уверен и не думаю, одинаковые понятия?

 

"не думаю", значит в большей степени склоняюсь к тому что такого нету.

Подумайте, имеет ли смысл отладчику поддерживать такую фичу ?

 

Положи руки под пресс (2 раза, по вертикали и по горизонтали) и ставь SoftICE. Или возьми любой отладчик с фичей 'Attach to process'.

 

_BC_

Блин да говорят же тебе что не ставится, делается все как на креклаб в инструкции написано! Разные дистрибутивы и т.д., аверов и фаеров не стоит! Так что уж лучше язык тебе под пресс =)



Ладно шутки в сторону, будем искать)

 

Неработающий SoftICE -- отличительный признак кряклабовца.

P.S. "оля" должна аттачиться к др. процессам (и она как раз популярна на кряклабе).

 

Отлаживать инжект код в оле - это попахивает мазохизмом.

Уж лучше денек помучиться с прессом и получить рабочий айс.

 

Не понял чем OllyDbg не устраивает?

 

Тем, что не умет отлаживать процессы на ранней стадии запуска (задолго до точки входа екзешника), не умеет дебажить системные процессы (lsass, winlogon, services), не умеет дебажить дрова.

Собственно применение оли ограничивается только отладкой юзермодного кода после точки входа екзешника и атачем к уже работающим несистемным процессам.

 

Руки значит растут у вас не из того места

гыгы нашли с чем сравнивать, да и в контекст вопроса это не входит.

При отладки ринг3 приложений лучшего нету, проверенное мнение.

 

У меня руки растут оттуда откуда надо, а насчет ваших рук я как-то не уверен

Допустим процесс explorer.exe запускает notepad.exe. После создания процесса происходит запуск его нервого потока с помощью ZwCreateThread.

Первый вопрос: как начать отлаживать этот поток олей с точки его старта?

Вопрос звучит как "чтобы позволял отлаживать не только в своем процессе но и в чужом, мой инжектированый код". В большинстве руткитов часто возникает задача отлаживать код работающий на ранней стадии загрузки системы внутри системных процессов.

Второй вопрос: как мне с помощью оли отлаживать код который начинает исполняться в процессе winlogon.exe на стадии загрузки системы предшествующей входу пользователя.



Ты сначала ответь на эти два вопроса (дай конкретные рекомендации по отладке в таких ситуациях) и потом рассуждай о том откуда у меня растут руки.

Причем напоминаю, что ситуации эти не взяты от балды, а это то с чем я лично сталкивался при отладке инжект кода.

 

Давай будем до конца логичными:

1:

ни о каком дебажинье системного кода речи не было.

 

2:

никак >;(

 

Ну а если я делаю инжект во время запуска процесса и меняю стартовый адрес первого потока? Это один из часто применяемых мной приемов, и относиться он к отладке инжект кода (о которой был собственно вопрос).

На вопрос ты не ответил, и получается что мое утверждение о невозможности отладки процесса на ранних стадиях запуска верно.

Что и требовалось доказать. А между прочим этот вопрос имел непосредственное отношение к отладке инжект кода.



Так что вместо того чтобы в следующий раз кричать что у меня руки криаые, лучше воспользуйся советом _BC_, только прессуй не по 2, а по 4 раза, иначе не поможет )

 

но тем не менее, OllyDbg позволяет отлаживать код до точки входа, при непосредственном запуске под отладчиком целевого приложения

Debugging options->Events->Make first pause at: System breakpoint

 

Но при отладке инжект кода это часто невозможно.

 

Ладно блин придется идти на рынок за огромным <font size=15>Прессом</font><!--size-->. Буду опять мучать айс!