Реверс и отладка x64 [win]

<Gh0St> · 24.08.2014, 22:22

Всем привет!
В этой статье я хочу рассказать об инструментальных средствах отладки 64-х битных приложений под Windows, а именно об IDA Pro.

Не будет долгих речей и вступлений, перейдём сразу к делу.
При реверсе 32-х битных приложений, реверсеру предоставляется богатый выбор инструментальных средств, достаточно лишь упомянуть OllyDbg, IDA Pro, WinDbg, но при столкновении с x64 возникает вопрос: "Чем реверсить?".

Для начала нужно скачать IDA Pro Portable v6.1 (рисунок 1).

Рисунок 1 - Версия IDA Pro Portable

В папке IDA находится файл idag64.exe (рисунок 2). Именно он понадобится для реверса и отладки 64-х битных приложений.

Рисунок 2 - Файл idag64.exe

Сэмпл для тестирования представлен на рисунке 3.

Рисунок 3 - Сэмпл

Запускаем IDA Pro (idag64.exe). В главное окно перетаскиваем сэмпл. В появившемся окне "Load a new file" жмём кнопку "OK". Как видите 64-х битный файл успешно открыт (рисунок 4).

Рисунок 4 - Сэмпл в IDA Pro

Это касаемо реверса, но возникает другой вопрос: "Как отлаживать?".
В папке IDA находится файл win64_remotex64.exe, который является удалённым отладчиком (рисунок 5).

Рисунок 5 - Файл win64_remotex64.exe

Запустив этот файл увидим следующее окно (рисунок 6). На локальном компьютере запускается debug server на порту 23946.

Рисунок 6 - Удалённый отладчик

Возвращаясь в IDA Pro, выбираем пункт меню Debugger -> Select debugger или просто жмём F9 (рисунок 7).

Рисунок 7 - Меню "Выбор отладчика" в IDA Pro

В появившимся окне "Select a debugger" выбираем "Remote Win32 debugger" и жмём кнопку "OK" (рисунок 8).

Рисунок 8 - Окно "Выбор отладчика" в IDA Pro

В меню Debugger появились новые пункты, выбираем Debugger -> Process options (рисунок 9).

Рисунок 9 - Меню "Параметры процесса"

В появившимся окне в поле "Hostname" указываем адрес 127.0.0.1 и жмём кнопку "OK" (рисунок 10). ВАЖНО: полный путь сэмпла не должен содержать символов кириллицы. Проще говоря: всё по-английски.

Рисунок 10 - Параметры отладчика

Теперь всё готово. Не забудьте установить точку останова (breakpoint) на начало программы выбором нужной инструкции и нажатием клавиши F2. Для начала отладки щёлкните по кнопке запуска отладчика (рисунок 11) или просто нажмите F9.

Рисунок 11 - Кнопка запуска отладчика

Сэмпл запустился в отладке, выполнение остановилось на точке останова, управление отладчиком представлено в пункте меню Debugger (рисунок 12).

Рисунок 12 - Сэмпл в отладке

На этом всё.
Спасибо за внимание!

Error13Tracer · 05.07.2015, 14:54

Данный материал не достоин внимания. Даже азов отладки в IDA не разобрано, а какое громкое название...

Конделябр · 05.02.2016, 00:00

Все наверно знают что существует olly-подобный аналог, который активно допиливается: hffps://github.com/x64dbg/x64dbg

FIXER · 05.02.2016, 13:23

о круто! эту кнопочку нажать потом вот эту, и все по картинкам !!!

Vofam · 06.02.2016, 00:15

Жаль, автор OllyDBG забил на разработку. А x64dbg пока сыроват.

Devill · 22.03.2018, 22:49

Отладкой приложений для Андроид занимался кто-нибудь?

24.08.2014, 22:22	#1
<Gh0St> Регистрация: 22.03.2012 Сообщений: 75 Репутация: 19	Реверс и отладка x64 [win] Всем привет! В этой статье я хочу рассказать об инструментальных средствах отладки 64-х битных приложений под Windows, а именно об IDA Pro. Не будет долгих речей и вступлений, перейдём сразу к делу. При реверсе 32-х битных приложений, реверсеру предоставляется богатый выбор инструментальных средств, достаточно лишь упомянуть OllyDbg, IDA Pro, WinDbg, но при столкновении с x64 возникает вопрос: "Чем реверсить?". Для начала нужно скачать IDA Pro Portable v6.1 (рисунок 1). Рисунок 1 - Версия IDA Pro Portable В папке IDA находится файл idag64.exe (рисунок 2). Именно он понадобится для реверса и отладки 64-х битных приложений. Рисунок 2 - Файл idag64.exe Сэмпл для тестирования представлен на рисунке 3. Рисунок 3 - Сэмпл Запускаем IDA Pro (idag64.exe). В главное окно перетаскиваем сэмпл. В появившемся окне "Load a new file" жмём кнопку "OK". Как видите 64-х битный файл успешно открыт (рисунок 4). Рисунок 4 - Сэмпл в IDA Pro Это касаемо реверса, но возникает другой вопрос: "Как отлаживать?". В папке IDA находится файл win64_remotex64.exe, который является удалённым отладчиком (рисунок 5). Рисунок 5 - Файл win64_remotex64.exe Запустив этот файл увидим следующее окно (рисунок 6). На локальном компьютере запускается debug server на порту 23946. Рисунок 6 - Удалённый отладчик Возвращаясь в IDA Pro, выбираем пункт меню Debugger -> Select debugger или просто жмём F9 (рисунок 7). Рисунок 7 - Меню "Выбор отладчика" в IDA Pro В появившимся окне "Select a debugger" выбираем "Remote Win32 debugger" и жмём кнопку "OK" (рисунок 8). Рисунок 8 - Окно "Выбор отладчика" в IDA Pro В меню Debugger появились новые пункты, выбираем Debugger -> Process options (рисунок 9). Рисунок 9 - Меню "Параметры процесса" В появившимся окне в поле "Hostname" указываем адрес 127.0.0.1 и жмём кнопку "OK" (рисунок 10). ВАЖНО: полный путь сэмпла не должен содержать символов кириллицы. Проще говоря: всё по-английски. Рисунок 10 - Параметры отладчика Теперь всё готово. Не забудьте установить точку останова (breakpoint) на начало программы выбором нужной инструкции и нажатием клавиши F2. Для начала отладки щёлкните по кнопке запуска отладчика (рисунок 11) или просто нажмите F9. Рисунок 11 - Кнопка запуска отладчика Сэмпл запустился в отладке, выполнение остановилось на точке останова, управление отладчиком представлено в пункте меню Debugger (рисунок 12). Рисунок 12 - Сэмпл в отладке На этом всё. Спасибо за внимание! __________________ - Про опыт говорят: "Мы так свои ошибки называем" Последний раз редактировалось <Gh0St>; 31.08.2014 в 11:15..

05.02.2016, 13:23	#4
FIXER Регистрация: 06.07.2010 Сообщений: 220 Репутация: 51	о круто! эту кнопочку нажать потом вот эту, и все по картинкам !!! __________________ DeepWebVPN - стабильный VPN для бизнеса. Более 20 серверов на гигабитных шлангах и без каких-либо логов. При регистрации по этой ссылке получаешь БЕСПЛАТНЫЙ тест на сутки дабла автоматом.

06.02.2016, 00:15	#5
Vofam Регистрация: 07.11.2013 Сообщений: 1 Репутация: 0	Жаль, автор OllyDBG забил на разработку. А x64dbg пока сыроват. __________________ Maniac.

22.03.2018, 22:49	#6
Devill Регистрация: 22.03.2018 Сообщений: 1 Репутация: 0	Отладкой приложений для Андроид занимался кто-нибудь? Последний раз редактировалось Devill; 24.03.2018 в 01:51..

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

05.07.2015, 14:54	#2
Error13Tracer Регистрация: 05.07.2015 Сообщений: 1 Репутация: 0	Данный материал не достоин внимания. Даже азов отладки в IDA не разобрано, а какое громкое название...

05.02.2016, 00:00	#3
Конделябр Регистрация: 04.02.2016 Сообщений: 1 Репутация: 0	Все наверно знают что существует olly-подобный аналог, который активно допиливается: hffps://github.com/x64dbg/x64dbg