non-intrusive debugger

[nait]

Es gibt ein Update. Folgendes ist neu:

• verbesserte Anzeige der Symbole (sie werden jetzt im Code angezeigt)
• ein Kommandozeilen-Fenster. Es kennt im Moment help, cls, show und bpx, soll aber noch ausgebaut werden
• eine Importfunktion für IDA Map-Files

[nait]

Es gibt ein Update mit folgenden Features:

• für die Kommando-Zeile gibt es jetzt den Befehl 'mem' mit dem Speicher über einen Formatstring angezeigt werden kann (für genauere Informationen einfach 'help' eingeben)
• mangled function names können ebenfalls in der Kommando-Zeile mit dem Befehl 'undec' in 'Klartext' umgewandelt werden
• wenn bei einem Breakpoint angehalten wurde, muss kein Single-Step ausgeführt werden um dann fortzusetzen. Oder kurz, auf einem BP kann auch mit F9 fortgesetzt werden.
• es gibt jetzt die Funktion 'search for intermodular calls' damit man die calls nicht mehr von Hand suchen muss ;-)

[nait]

Es ist mal wieder Zeit für ein Update. Das sind die neuen Features:

• Die Menü-Einträge ändern sich jetzt passend zum Status
• Selection-Highlighting, ein bisschen wie bei IDA. Ein "Wort" anklicken und Blöcke in denen es vorkommt werden farbig hinterlegt.
• Eine PlugIn-Schnittstelle (s.u.)
• Trennung der GUI von der "Debugger-Schnittstelle", die Grundfunktionalität liegt jetzt in einer DLL

Und passend zu der neuen PlugIn-Schnittstelle gibt es auch ein PlugIn von Zaesar. Ein Heap Viewer der die Blocklists anzeigen kann.
@Zaesar:
Magst du das genauer beschreiben? ;-)

[finix]

Hi nait,

geiles Teil, ABER: ich brauch unbedingt ne Funktion um "all referened Text-Strings" zu suchen!

Straubi

[nait]

Done.

Viel Spass damit. ;-)

[Zaesar]

Zitat:

Zitat von nait

Und passend zu der neuen PlugIn-Schnittstelle gibt es auch ein PlugIn von Zaesar. Ein Heap Viewer der die Blocklists anzeigen kann.
@Zaesar:
Magst du das genauer beschreiben? ;-)

Sorry dass das so lange gedauert hat.

Zweck des Plugins ist es, den Zustand der internen Strukturen und Listen eines Heaps anzuzeigen.
Im Treeview auf der linken Seite sind die Adressen der Heaps aufgelistet (ein Prozess hat unter Windows fast immer mehrere Heaps). Als Unterpunkte gibts es die Listen der freien Blöcke und die Lookaside-Listen, jeweils nach der Größe der Blöcke geordnet. Wenn man eine der Listen auswählt, werden die Blöcke in der ListBox in der Mitte angezeigt.
Bei der Darstellung hab ich mich nahe an die Struktur der Blockheader gehalten; z.B. zeigt das Plugin die Größe des Blocks so an, wie sie im Header drin steht: in der Anzahlt der 8-Byte Schritte. Die tatsächliche Größe des Blocks in Bytes ist also ssize*8 bzw. psize*8.
Ein neues Feature ist, dass das PlugIn die Blöcke vor und nach einem bestimmten Block anzeigen kann. Dazu gibt man die Adresse eines Blockheaders (*nicht* die Adresse der Daten im Block, wie sie von malloc() zurückgegeben wird. Der Header beginnt 8 Bytes vorher, also bei (malloc(x)-8)) in das Feld "Neighborhood watch" ein und lässt sich mit "Show Neighborhood" die 'Nachbarschaft' des Blocks anzeigen.

Bekannte Bugs:

• Das Plugin benutzt die ToolHelp-API, um an eine Liste der Heaps in einem Prozess zu kommen. Die ToolHelp-Funktionen machen aber Probleme, wenn einer der Heaps beschädigt ist. Als Workaround dient die Checkbox "Stop adding new Heaps". Wenn diese gesetzt ist, werden nur noch die Daten der bereits bekannten Heaps aktualisiert, aber keine neuen Heaps mehr hinzugefügt.
• Weil ich keine vollständige Dokumentation der Lookaside Lists gefunden habe, musste ich an einigen Stellen raten. Listen mit einem oder mehr Elementen werden zwar richtig dargestellt; aber eigentlich leere Listen scheinen manchmal offensichtlich sinnlose Daten zu enthalten.

[nait]

Nach einem viertel Jahr gibt es endlich wieder ein Update.
Es gab folgende Änderungen:

• Die Anzeige des EIP sollte jetzt zuverlässig sein, vorher wurde ja nicht immer der Code angezeigt an dem der Haltepunkt war
• Eine kleine Verbesserung im Auflösen von Symbolen

Und als neues Feature habe ich einen Analyser eingebaut. Zur Zeit macht er eine Zerlegung des Codes in Basic Blocks ausgehend vom Entrypoint. Dabei folgt er allen Sprüngen und Aufrufen innerhalb des Moduls, die er auflösen kann und "markiert" diese Befehle auf dem Weg als Code. Der Rest wird erstmal als Junk eingestuft.

Erstmal ist es etwas rudimentär aber ich verspreche mir wesentlich bessere Analyse-Möglichkeiten davon. Der nächste Schritt wird dann noch die Berücksichtung der referenzierten Daten und eine erweiterte analyse (z.B. Exports, TLS-Callbacks und bestimmte Heuristiken als Quellen für Block-Einsprünge).

Und wie immer, wenn ihr konstruktive Kritik und/oder Fragen habt, immer her damit.

Schönes Wochenende.

[nait]

Es gibt ein Update für obsidian. Die neuen Features sind:

• Beim Singlestep über call aus denen nicht/spät zurückgekehrt wird (z.B. bei DialogBoxParam) verhielt sich obsidian als wäre er abgestürzt (tatsächlich wartet er auf das return und läuft dann auch wie gewohnt weiter). Das ist mit Hilfe eines asynchronen Verarbeiten der Nachrichten behoben worden.
• Es gibt jetzt endlich ein einfaches Stack-View. Der oberste Stack-Eintrag, die abgelegeten Basepointer und return-Adressen werden gehighlighted.
• Mit einem Doppelklick auf einen Stack-Eintrag springt man an die Adresse im Code. Damit ein versehentlicher Doppelklick euch nicht ins Nirvana schickt, könnt ihr mit Escape wieder zurück zur vorherigen Adresse springen. (Das verhalten ist das gleiche wie beim folgen von Sprüngen oder Calls mit der Return-Taste)
• Der Analysers ist durch eine andere Suchreihenfolge etwas schneller geworden.

[nait]

Ich habe ein kleines Update online gestellt:

• Es gibt jetzt die "Attach to process" Funktionalität, so dass man sich auch an laufende Prozesse hängen kann.
• Ein paar kleine Bugs entfernt
• Ein wenig den Code aufgeräumt und ein potenzielles Memoryleak behoben

[nait]

Es gibt ein minimales Update und eine Sicherheitswarnung für obsidian.

Das Update ist die Möglichkeit dem Target beim Starten jetzt auch Parameter zu übergeben.

Die Sicherheitswarnung bezieht sich darauf, dass es dem Target möglich ist einen Breakpoint zu manipulieren und auf diesem Weg wieder unkontrolliert laufen kann. Genaueres findet ihr hier:
http://deneke.biz/obsidian