امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
مشکل در غیرفعال شدن بریک پوینت ها در x64dbg
نویسنده پیام
Tiny Russell آفلاین
تازه وارد

ارسال‌ها: 9
موضوع‌ها: 2
تاریخ عضویت: شهریور ۱۳۹۹

تشکرها : 2
( 4 تشکر در 2 ارسال )
ارسال: #1
Sad  مشکل در غیرفعال شدن بریک پوینت ها در x64dbg
سلام به همگی
نرم افزاری دارم که یه فایل DLL اون باید پچ بشه. موقعی که در نرم افزار x64dbg بازش می کنم و در محل های مورد نظرم بریک پوینت میزارم و برنامه رو دوباره اجرا می کنم در x64dbg، اونها disabled شدن و موقعی که enable می کنم نرم افزار کرش می کنه.
[تصویر:  idg5_1.png]

و این فایل در پنجره Memory map دارای Protection به شکل ERWC هست که مفهومشو نمی فهمم و سکشن هاشو نشون نمیده:

[تصویر:  idmn_2.png]

وضعیت سکشن ها در exeinfo:

[تصویر:  s19c_3.png]

چه راهی برای از بین بردن این محدودیت وجود داره. البته احتمال می دم فایل پک باشه
۲۵-دى-۱۳۹۹, ۰۰:۴۸:۱۲
ارسال‌ها
پاسخ
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 492
موضوع‌ها: 9
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 46
( 1824 تشکر در 484 ارسال )
ارسال: #2
RE: مشکل در غیرفعال شدن بریک پوینت ها در x64dbg
سلام
اين مشكل ميتونه دلايلي زيادي داشته باشه كه توضيحش زمان بر اما به عنوان تيتر عرض ميكنم خدمتتون هرجايي نياز ب باز شدن تيتر داشتيد بگيد


1-بريك پوينت نرمال يا INT3 در واقع اولين بايت از يك معماري 8086 رو به  0xCC  تغيير ميده كه طبق جدول بردار وقفه يك اسثنا به پردازنده و بعد ارجاع به سيستم عامل ميفرسته و باعث توقف برنامه ميشه و معمولا بروي سكشن كد جواب ميده در صورت استفاده بروي سكشن ديگه اييممكنه باعث كرش يا غير فعال كردن اون توسط ديباگر بشه .
2- درمورد خاصيت پرمييشن حافظه پرسيده بودي كه البته بايد با توجه به فلگ  بررسي بشه ولي چون نوع ديباگر رو گفته بودي و با توجه به منبع باز بودنش اين كد مربوط به:

کد php:
PAGE_EXECUTE_WRITECOPY
0x80 
                
هست.يا همون   ERWC     با توجه به سورس قسمت نقشه ي حافظه در 64xdbg  :
کد php:
case PAGE_EXECUTE_WRITECOPY:
 
       strcpy_s(RightsRIGHTS_STRING_SIZE"ERWC");
 
       break
كه دسترسي اجرا ،فقط خواندني،يا كپي برروي فايل نگاشت شده در حافظه رو ميده،**هر موقع بخوايي تغييري ايجاد كني يه كپي از صفحه گرفته ميشه و تغيير روي اون انجانم ميشه و نكته ي مهم اينه كه :
***توسط توابع VirtualAlloc یا VirtualAllocEx پشتیبانی نمی شود***


منبع سورس ديباگر شما:

کد php:
https://github.com/x64dbg/x64dbg/blob/development/src/dbg/memory.cpp#L27 
            

منبع دسترسي هاي حافظه :
کد php:
https://docs.microsoft.com/en-us/windows/win32/memory/memory-protection-constants 

راه حل:
1-چك كنيد برنامه پروتكت نباشه(آنتي ديبگر يا تكنيك هاي ضد ويرايش)
2-از نقاط توقف حافظه ايي يا سخت افزاري استفاده كنيد
3-چك كنيد آدرس بعد از بار مراجعه تغيير ميكنه يا نه


نظر شخصي:با توجه ب اسلايد آخرشايد فايلتون mixedmode باشه يعني نصف دات نت نصف    native ،و در آخر با توجه به تجربه م اگه براي كنجكاوي انجام ميشه كه هيچ در غير اين صورت بي خيالش شو :) چون پروتكشن اين FLEXNET هست و ريورس به اين شكل عاقلانه نيست گل

(آخرین ویرایش در این ارسال: ۲۵-دى-۱۳۹۹, ۱۵:۲۱:۵۴، توسط NO DONGLE.)
۲۵-دى-۱۳۹۹, ۱۴:۴۷:۱۴
ارسال‌ها
پاسخ
تشکر شده توسط : Tiny Russell, 1نفر, hadikh73
Tiny Russell آفلاین
تازه وارد

ارسال‌ها: 9
موضوع‌ها: 2
تاریخ عضویت: شهریور ۱۳۹۹

تشکرها : 2
( 4 تشکر در 2 ارسال )
ارسال: #3
RE: مشکل در غیرفعال شدن بریک پوینت ها در x64dbg
بسیار ممنونم از NO DONGLE عزیز  028
فایل احتمالا پروتکت هستش و آدرس با مراجعه بعدی تغییر میکنه که با غیر فعال کردن ALSR حل شده
اگه فایل با استفاده از تکنیک های ضد ویرایش حفاظت بشه چگونه میشه این مشکلش رو حل کرد
بله FEXLM هستش ولی با توجه به پیچیدگی ها با روش های معمول FLEXLM نمیشه دورش زد  قلب عشق - بهینه شده برای ورژن جدید
۲۵-دى-۱۳۹۹, ۲۰:۱۴:۴۵
ارسال‌ها
پاسخ
Tiny Russell آفلاین
تازه وارد

ارسال‌ها: 9
موضوع‌ها: 2
تاریخ عضویت: شهریور ۱۳۹۹

تشکرها : 2
( 4 تشکر در 2 ارسال )
ارسال: #4
RE: مشکل در غیرفعال شدن بریک پوینت ها در x64dbg
به نظر می آد فایل پک باشه و ماجرا از اینجا آب میخوره. نسخه جدید Detect it Easy سکشن ها رو این طوری نشون میده ولی نام پکر رو نمینویسه:

[تصویر:  99ka_packed.png]
۲۶-دى-۱۳۹۹, ۱۹:۵۰:۴۲
ارسال‌ها
پاسخ
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 492
موضوع‌ها: 9
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 46
( 1824 تشکر در 484 ارسال )
ارسال: #5
RE: مشکل در غیرفعال شدن بریک پوینت ها در x64dbg
به خاطر اينكه اولا خيلي مهم نيست دوما نسخه تجاريه و متفاوت هست و پكر خصوصيه .

۲۶-دى-۱۳۹۹, ۲۰:۰۱:۴۳
ارسال‌ها
پاسخ
تشکر شده توسط : 1نفر, Tiny Russell, hadikh73


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  عدم باز شدن برنامه در ollyDBG ozviat88 1 265 ۱۲-آذر-۱۳۹۹, ۲۰:۱۳:۱۹
آخرین ارسال: NO DONGLE
  مشکل در کرک نرم افزاری یک برنامه al2008 7 465 ۲۰-مهر-۱۳۹۹, ۰۲:۲۱:۰۹
آخرین ارسال: al2008
  یک سوال ساده ولی مهم در مورد دیباگ نشدن در Olly SamOne 5 4,931 ۲۴-مرداد-۱۳۹۸, ۱۴:۵۹:۰۶
آخرین ارسال: jalilkamali
  [سوال] چطوری فایل را قبل از پاک شدن کپی کنم nImaarek 7 917 ۱۷-اردیبهشت-۱۳۹۸, ۰۰:۵۲:۳۷
آخرین ارسال: babyy
  مشکل در کرک یک نرم افزار خارجی که قویاً پروتکت شده journalist 4 2,604 ۱۲-شهریور-۱۳۹۶, ۲۱:۱۸:۲۷
آخرین ارسال: journalist
  [سوال] پیش نیاز برای وارد شدن به دنیای آنپک nImaarek 6 2,378 ۳۰-مرداد-۱۳۹۶, ۱۷:۵۶:۲۷
آخرین ارسال: babyy
  نحوه ردیابی پیام ها در قسمت دیتا esafb52 10 5,458 ۰۱-دى-۱۳۹۳, ۰۲:۰۱:۳۵
آخرین ارسال: NO DONGLE
  چطور میشه پیغامهایی مثل Upgrade را در یک نرم افزار حذف یا غیرفعال کرد ؟ Cyberlife 1 1,505 ۲۳-تير-۱۳۹۳, ۱۸:۲۷:۲۶
آخرین ارسال: NO DONGLE
  چگونگی دیباگینگ در ویندوزهای x64 و نحوه استفاده از ollydbg در 64بیت dotleo 1 3,926 ۱۵-دى-۱۳۹۲, ۱۳:۰۲:۳۳
آخرین ارسال: godvb
Question [سوال] مشکل در باز شدن upx javaweb 1 1,869 ۲۲-خرداد-۱۳۹۲, ۲۳:۴۴:۴۳
آخرین ارسال: babyy

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS