سلام
من تازه Immunity Debugger رو دانلود و کمی باهاش ور رفتم ؛
در کار با دیباگر ها مبتدی ام ، ولی به نظرم می رسه که تقلیدی از OllyDbg باشه. (از لحاظ ظاهری که خیلی شبیهن. منوها ، پنجره ها ، حتی هلپشون هم عین همه)
) ابنجا (http://www.rezalfr.org/francois.ropert/index.php/2007/08/27/17-j-utilise-immunity-debugger)و اینجا (http://f0gx.freeflux.net/blog/archive/2007/08/31/immunity-debugger-ollydbg-1-10.html)گفته شده که از انجین Olly استفاده شده )
میخوام بدونم آیا برتری هایی نسبت به OllyDbg داره ؟ (چون که Immunity بعد از Olly به وجود اومده ، پس باید برتری هایی به یک ابزار جاافتاده ای مثل Olly داشته باشه که پلاگین های زیادی براش هست و کاربران زیادی هم داره ، تا بتونه کاربرا رو جذب کنه)
در اینجا (http://www.immunityinc.com/products-immdbg.shtml)هم به مشخصات زیر اشاره کرده که همه در Olly وجود دارن:
• داشتن GUI و command line (که Olly هم داره)
• دستورات پایتون (نمیدونم چه کاربردی دارن)
• Built in Graphing (Olly هم داشت ، ولی با پلاگین)
فقط گفته
Immunity Debugger is a powerful new way to write exploits, analyze malware, and reverse engineer binary files.
…..
A debugger with functionality designed specifically for the security industry
Cuts exploit development time by 50%
Robust and powerful scripting language for automating intelligent debugging
آیا واقعا همین ویژگی ها، توجیه کنندۀ ایجاد یک ابزار جدیدن ؟

ollydbg بین cracker ها یا افرادی که دنبال dynamic runtime analyzer هستن خیلی چیز خوبیه اما چون ollydbg رو فقط یه نفر مینویسه و خیلی دیر اپدیت میشه و نوشتن پلاگین براش راحت نیست خوب بود که یه چیزی مثل همون وجود داشته باشه ولی بدون این نقصها
immunity debugger این مشکلاتو نداره و هدفش با ollydbg فرق داره ! قبل از این هیچ دیباگر خوبی که بشه راحت براش اسکریپت و پلاگین نوشت یا میشد ازش تو برنامه ها استفاده کرد وجود نداشت ! windbg اصلا user friendly نیست و دستورات خیلی زیاد و پیچیده ای داره و بازم اسکریپت و پلاگین نوشتن براش سخته و بهر حال نمیشه از امکاناتش تو برنامه های دیگه استفاده کرد ! مثلا نمیتونی از windbg کمک بگیری و یه لودر بنویسی که یه کد self-decrypting رو قدم به قدم disassemble کنه و هر وقت استک یه شرایط خاصی داشت یه آفستی تغییر کنه ! خود ollydbg هم این امکانو نداره و پلاگین نوشتن براش کار ساده ای نیست !
کسائی که در زمینه vulnerability research و exploit development فعالیت میکنن نیازاشون با cracker ها یا quality tester ها یا developer ها فرق میکنه . باید محیط کار منعطف باشه و بشه با اسکریپت همه چیز رو تا حد ممکن خودکار کرد و حتی تو برنامه های پیچیده یا شرایط خیلی خاص از امکانات محیط تو راه حلا استفاده کرد ! برای آنالیز کردن یه patch جدید مایکروسافت و نوشتن یه exploit برای سیستمهائی که هنوز ناقص هستن دیباگرهای معمولی مفید نبودن

IDA که برای RCE در عمل یه پلت فرم هستش دیباگر داره و با وجود IDC Script و یا چیزائی مثل IDAPython خیلی میشه ازش استفاده کرد اما بازم چون تمرکز datarescue روی جنبه های انالیزی این برنامه بوده دیباگرش چنگی به دل نمیزنه . همه منتظر بودن بالاخره یکی یه کاری بکنه

immunity کمپانی هستش که در زمینه vuln research زیاد کار کرده . canvasاش رو برو ببین . اینها سورس کد ollydbg رو کاملا خریدن و تغییرات زیادی توش دادن . مهمترین تغییر این هست که میتونی از کلیه امکانات دیباگر همه جا استفاده کنه چون با API اکسپورت شده و چون پایتون شل داره میتونی داینامیک باهاش بازی کنی و به امکاناتش اضافه کنی بدون اینکه هی کد خفن سی یا اسمبلی بنویسی و کامپایل کنی و ببینی مشکلی داره یا نه ( پلاگین )
و تغییراتی که در UI دادن باعث شده بیشتر vuln centric بشه و به درد بررسی مشکلات امنیتی بخوره ! بنابراین محیط این دیباگر به درد افرادی که با همون ollydbg خوش میگذروندن نمیخوره

مثلا یکی از دوستهای من ( حسام صالحی ) یه اسکریپت نوشته که خیلی راحت میشه باهاش return address رو موقع تحقیق درباره buffer overflow ها بدست آورد...خیلی هم ساده هستش : http://duran.persiangig.com/jc.py

پس با اینکه immunity debugger یه جورائی پسر ollydbg هست اما کاربردشون متفاوته و نیازهای زیادی وجود داشتن که olly و هیچ دیباگر دیگه ای به سادگی ارائه نمیکردن و حالا با این دیباگر جدید برطرف شدن یا میشن ....چون یه تیم روی این دیباگر کار میکنن و کامیونیتی فعالی داره دائما تغییر و رشد میکنه و اینم خیلی مهمه

درایورها رو میشه به همان راحتی exe ها دیباگ کرد ؛

http://i4.tinypic.com/4lqmxx3.png

[quote=Mehdi Asgari;389089]
• دستورات پایتون (نمیدونم چه کاربردی دارن)


سلام ان چیزی که نمیدونید می تونید از این کتاب (http://www.amazon.com/Gray-Hat-Python-Programming-Engineers/dp/1593271921/ref=sr_1_1?ie=UTF8&s=books&qid=1265977358&sr=8-1)یاد بگیرید
http://ecx.images-amazon.com/images/I/51KF0NlvqGL._BO2,204,203,200_PIsitb-sticker-arrow-click,TopRight,35,-76_AA240_SH20_OU01_.jpg