Debugger windows sans debugger

Soyez le premier à donner votre avis sur cette source.

Vue 10 193 fois - Téléchargée 819 fois

Description

Tracelog permet d'infiltrer et de tracer un process cible.
le tracage se fait a l'aide des exceptions.
le process cible ne sait pas qu'il est tracé. (IsDebuggerPresent retourne FAUX)

TraceLog fonctionne avec XP et je pense NT/2000 mais je n'ai pas essayé.

ce programme n'est pas terminé.

TraceLog v0.0.1b --- le 12/01/2004.
TraceLog v0.0.2b --- le 21/01/2004.
  • correctif bug fonction copymem
  • correctif bug log module changement sans exports
  • fichier buildmasm.bat permet de compiler en environnement masm32
  • amelioration de l'interface context.

TraceLog v0.0.3b --- le 06/06/2004. -- completement bugée passer a la version 0.0.4b
  • compatibilité 9X abandonnée
  • methode d'infiltration + efficace.


TraceLog v0.0.4b --- le 20/11/2004.
  • launch.exe: compatibilité 9X abandonnée

-methode d'infiltration VirtualAllocEx + efficace.
-la dll n'est plus dupliquée mais chargée a partir du rep de launch.exe
-meilleure stabilité
  • spy.dll:modification du gestionnaire d'exception

-utilisation VirtualQuery au lieu de scanmem afin de trouver les hInstance
-il me semble plus rapide et plus stable
-log bypass sur une ligne ( fichier log + clair et - de SendMessage() )
-log fonction API DispatchMessage()

TraceLog v0.0.5b --- le 05/01/2005.
  • launch.exe

-suppression d'un bug dans les noms de fichiers si launch.exe est à la racine d'un disque.

TraceLog v0.0.6b --- le 31/01/2005.

PASSAGE EN PROJET CHROME
  • launch.exe:differentes ameliorations

-notamment au niveau de la gestion des noms de fichier
  • spy.dll:suite au passage en projet chrome, elle se nomme tracelog.dll ( marre de renomer )
  • tracelog.dll:refonte de l'interface graphique

-plusieurs elements de retour dans la meme fenetre.
  • tracelog.dll:impossible de bypasser les fonctions non exportées.

-le traceur refusera de bypasser les appels qui ne sont pas repertoriés comme exports.
ceci afin d'eviter des problemes de bypass pour des faux appels.
il sera a terme possible de forcer une option bypass lorsque la gestion
config / fonction sera operationelle.
  • tracelog.dll:fichier log crée dans le repertoire de launch.exe
  • tracelog.dll:possibilité de définir les options BREAK/BYPASS/LOG par dll

-maintenant possible de tracer appli VB
-configurations sauvegardees dans fichiers *.mcg

dans sa version finale, il se nomera peut etre VirtualDbg,
mais il manque:
option log/nolog et trace/bypass par modules et fonctions
Dump Lecture/Ecriture.
Assembleur/Desassembleur.
Gestion Breakpoints (Dr0..Dr7) et/ou int3.
et bien d'autres... ( un prog n'est jamais fini )

Codes Sources

A voir également

Ajouter un commentaire

Commentaires

ToutEnMasm
Messages postés
552
Date d'inscription
jeudi 28 novembre 2002
Statut
Membre
Dernière intervention
26 mars 2016
1 -
ça manque un peu d'explications sur le traçage avec des exceptions
ToutEnMasm
cs_patatalo
Messages postés
1466
Date d'inscription
vendredi 2 janvier 2004
Statut
Modérateur
Dernière intervention
14 février 2014
1 -
rendons a César ce qui appartient a César:
la méthode d'infiltration a été inspiré du code
recherche kernel32 par yoda_f2f@gmx.net
le module pe.asm a été réalisé grace a la documentation
sur le format pe ( win32asm.cjb.net )
cs_patatalo
Messages postés
1466
Date d'inscription
vendredi 2 janvier 2004
Statut
Modérateur
Dernière intervention
14 février 2014
1 -
je vais ecouter ton conseil et travailler plutot sur les nombreuses choses + interessantes a ameliorer dessus.

!!! bug bug dans fonction copymem mettre srh ecx,2
premiere maj v0.0.2b déposée: voir lismoi.txt
cs_Dean
Messages postés
500
Date d'inscription
mardi 16 avril 2002
Statut
Membre
Dernière intervention
2 août 2004
-
Cette appli me semble être une très bonne idée, merci d'avoir releasé le source :)
BruNews
Messages postés
21042
Date d'inscription
jeudi 23 janvier 2003
Statut
Modérateur
Dernière intervention
21 août 2019
13 -
J'espere avoir le temps d'etudier ce code le plus tot possible car ii me semble fort interessant.
A mon avis, concentre toi a faire avancer cette version sur les noyaux NT, les autres sont en voie de disparition et ce serait une perte de temps de les prendre en charge. Les grands editeurs les laissent bien tomber, alors...
ciao...

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.