Frida.re - кто использовал?

Rel, при всех вы###aх, чисто как подход, гипер как идея проигрывает дию как идее. Законектиться к рабочему серваку, у которого гигов так 256 оперативы, и в смутный процесс инжектить анклав с проверочной логикой, а потом выйти не обрушив ничего если всё норм - это как раз очень востребованный мейнстрим. Беда только, что рынок серваков на винде в цодах как-то имхо не велик. И уж тем более это не ХП-SP2.

ну и да, конкротно дий этого не умеет, но как идея - это серьезный аверский потолок.

 

Я не особо понимаю, что это и для чего это нужно. Мы обсуждаем визоры только в контексте погонять малварь.

--- Сообщение объединено, 7 фев 2021 ---

Да дий ничего толком не умеет, был бы он такой годной тулзой, какой его типичный спец малюет, его бы уже использовали повсеместно.

 

Rel,

> Да дий ничего толком не умеет

Для этого подняли дамп кл. Видимо ты тот форум не читал. Посмотри решения, узнаешь много нового. Можно сказать что ты пропустил всё https://archivevx.net/exelab/f/index.html

 

Именно для этого?

 

q2e74,

> конкротно дий этого не умеет, но как идея

Это системный инструмент, о чём речь я хз.

 

речь про горячую пустую нишу на рынке, а значит про мегабабло.

 

Ты не понимаешь, бабло не имеет значение, важно только "найденное осмысленное решение". 400 баксоф в месяц вполне должно хватать.

 

Откуда нам знать, в наши года иметь тело 20-ти летнего могут не только лишь все, мало кто это может. Видимо тем, кто может, тем и хватает.

 

Ну и? Какие DBI не отстой? Не проще сразу их перечислить? Чем мне инструментировать сервисы, запущенные под LOCAL SERVICE, NETWORK SERVICE ?

 

eshmereum, в первых строках своего поста хочу сказать вам спасибо, что подключились к данной теме.
Я благодаря вашим некоторым рассуждениям в ваших постах про Фриду и ДБИ узнал кое-что, для себя, новое.
Ну и благодаря вам и Релу - наконец-то разобрался с работой Фриды.
Так что настроен я, по отношению к вам, весьма положительно, а если вам что-то не понравится в моих постах - не обижайтесь.
Я не со зла - сколько людей столько и мнений.

Да мне все, которые популярные(ну или "раскрученные") нравятся:
• Pin
• Valgrind
• DynamoRIO
• Dyninst
• Frida

Правда с Valgrind и Dyninst не работал, в связи с их "заточеностью" под никсы, но слышал много положительных отзывов от людей.

Сформулировано как-то слишком абстрактно и обобщенно. Лучше наверное более конкретно:
Есть вот такая программа, запускаю ее под Пином - вылетает, зависает, тормозит. Что делать?
Ответ:
Писать багрепорт, связываться с разработчиками, а потом делать выводы.
Как-то, вот примерно, так наверное.

 

GRAFik,

Покажи пример, возьми любой и напиши под него фильтр обработку, я же говорил тупо строку найди в блокноте - это врядле решаемо через эти инструменты в связи со сложностью. Не говоря уже про малварь защиту протекторы, пин что то мог крутить но это нельзя было использовать https://archivevx.net/exelab/f/pages/action=vthread&forum=1&topic=25888&page=0.html#29

- транслятор не паблик, попытка заюзать не получится.

Зачем вообще все эти костыли, если достаточно отладчика. Эти инструменты слишком сырые, хочешь стабильное годное - разрабатывай это сам. А использовать это тупо терять время, на устранение багов и решение времени уходит на порядки больше чем сборка своего какого то монитора за пару часов. Главное что нужно понять - у таких инструментов интерфейса нет, они бесчисленное количество раз компилятся под задачу, поэтому нужно понимать как это всё работает устроено, что бы какой то очередной семпл анализить, нужно собирать за минуту билд запускать смотреть результат и вновь собирать. Это десятки сотни раз за час. Работа с отладчиком происходит куда проще и медленнее.

По линку можешь посмотреть как я это решал. Одновременно вносятся изменения, критерии и пакет апп запускается. Покуда что то раскрутило, вновь собираешь и запускаешь, их пол сотни крутится. Так налету понимая как всё устроено. А без трансляции бинарной семплы крутятся часами. Так что вот подумай осилишь ли ты такое

Вначале нужно разобраться с отладчиком, только потом когда он себя исчерпал переходить к автоматике.

 

Да никаких сложностей. Тут недавно Рел ссылку выкладывал - для тех кто не умеет работать с Frida. Найдите, Инди, и научитесь работать с Фридой - она девушка, вроде, добрая и отзывчивая, в общем, договорится всегда можно =)) Вот там как раз, в примерах по Фриде есть и ваш любимый блокнот и поиск строки в нем. Может хоть научитесь с нормальными, профессиональными ДБИ работать, а не с теми, которые вы сто лет назад придумали и которые не работают с 64-х битными файлами =))

 

GRAFik,

> Найдите, Инди, и научитесь работать с Фридой

Зачем ?

Я ведь системщик, примитивную дичь юзать. Отладчик открывай виндебаг, разбирайся. Только затем может быть автоматика скрипты и тп. Ты патаешься начать не с того конца, врочем твое дело мне всёравно.

> сто лет назад придумали и которые не работают с 64-х битными файлами =))

При необходимости я могу пересобрать под 64, алгоритмы и архитектура не изменятся от разрядности. Примитивная сервисная обработка да, но это вообще ниочём. Не уходи от темы на меня не нужно переводить начни с простого блокнота покажи что ты решил. Затем перейдём к сложным примерам.

 

Зачем? Он ведь не системщик.

Видимо не всё равно.

Спасибо, что не торопишь события с нами, сенсей.

 

Абстрактно? Я привел критерий, по которому одним кликом мышки сортируются процессы в ProcessHacker. Вот именно из-за того, что я не могу инструментировать эти усталие процессы, моей семье нечего есть.
Я реально не понимаю что в этом может быть абстрактного.

 

eshmereum,

Есть у меня одно предположение, может оно и не совсем верное, ну поправите, если что. Просто зная специфику программы ProcessHacker - там, по-моему, простым инструментированием проблемы не решить. Нужно инструментировать на уровне ядра, а таких DBI в паблике, несколько мне известно, нет. Может в этом проблема?

 

eshmereum, не тратьте время на этого флудера, это будут такие пустопорожние ответы-вопросы, потом оскорбления..проходили уже сто раз и тут и на клабе. Добавьте рафика в игнор и будет норм.
Indy_, это dma/sty, не тратьте время.

жаль, нельзя как на клабе, закрыть тему к чертям.