Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Они выделяются голубым цветом в полосе навигации. Можно в окне функций посмотреть список, его главное упорядочить. Всё, чему присвоены имена до того, пока отработали плагины или пользователь что либо сделал, обработано через FLIRT.

| Сообщение посчитали полезным:

Насколько помнится, по сигнатурам определяются библиотечные функции, они выделены лазурным цветом и свернуты.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Спасибо, ну хотя бы так)

| Сообщение посчитали полезным:

К выходу готовят IDA 6 (IDAQ). Рабовладелец Бизнессмен Ильфак запряг Дэниэла Пистелли переписать весь GUI на Qt. О 7 месяцах работы Пистелли в Hex-Rays можно почитать тут: http://rcecafe.net/?p=151

Просто интересно стоит ли оно того? Мне кажется тот кто купил Ida+Decompiler за $3000, может позволить себе Windows за $700. Или Ilfuck так думает расширить свой сегмент рынка? А может все крутые REшники сидят на маках и линуксах?
PS не дай Бог увидеть Ida for IPad : )

| Сообщение посчитали полезным:

Непонятный пост. Да, есть реверсеры которые сидят на маке и реверсят софт под мак. Вы удивлены?

| Сообщение посчитали полезным:

Меня вот убивает, что в иде нельзя псевдонимы для переменных сделать (((

-----
IZ.RU

| Сообщение посчитали полезным:

Здоровенная функция, hexrays ругается:
FFFFFFFF: variables would overlap: XX@2/4 and XX@2/8

как понять на что именно ругается, ну хотя бы где ?

| Сообщение посчитали полезным:

daiver откатись версией хексрейса вниз
можно конечно стековые переменные посмотреть поправить но не всегда вариант

| Сообщение посчитали полезным:

Откатиться не получится, потому что единственное что важно это упрощение разобора операций с плавающей точкой, а они тут основные.

мне бы понять хотя бы что значит 2/4 2/8, раз не понятно как узнать адрес
и какие переменные перекрываются, вероятно где-то double (8 байт)
используется частями, хотя по идее такие ситуации не должны вызваеть
проблем, ведь куча мест где в стеке сначала лежит одна переменная,
после ее освобождения другая, другого размера.... есть какие мысли,
куда копать ?

| Сообщение посчитали полезным:

понятия не имею что это значит, это к ильфаку
у меня эта ошибка и на простеньких процедурах где флоата вообще нет, вываливалась
частично иногда, но не всегда можно было решить проверив и выравняв параметры процедуры
точно выясняем количество аргументов в функцию и правильно и корректно их устанавливаем и выравниваем
arg_ должны быть выравняны а не с провалами то байт то три байта то еще фиг знает сколько
и значения фунций как это что дизасмите так и тех что входят в эту функцию при дизасме корректно должны быть установлены

| Сообщение посчитали полезным:

XX@2/4 - значит на 2м базовом блоке, 4 - хз может подинструкция
а вообще hex-rays ещё то глючево, иногда в асме разобраться проще

| Сообщение посчитали полезным:

Спасибо. Буду разбираться.
Если что выясню напишу.
Хотя тут только это функция больше 30 килобайт, и везде классы, наследование....
в общем не думаю, что смогу быстро все разобрать.

| Сообщение посчитали полезным:

кинь файл в личку, скажи какая функция посмотрю )

| Сообщение посчитали полезным:

ciam пишет:
XX@2/4 - значит на 2м базовом блоке,
Что значит базовый блок, как его соотнести с кодом ?

| Сообщение посчитали полезным:

базовый блок - неразрывный участок (т.е. исполняется без Jmp) - это если просто
когда наводишь мышь на переменную, хинт показывает в каком она блоке

| Сообщение посчитали полезным:

а вообще вот описание:
www.hex-rays.com/manual/failures.shtml#20

| Сообщение посчитали полезным:

Как узнать номер базового блока я не понял.
Но в Options->General есть опция Basic block boundaries
Если ее включить, то разные блоки кода разделяются пустыми линиями.

Похоже что я моя проблема из-за того что в стеке выделяется большой кусок,
больше страницы, и там функция которая пинает стек последовательно,
страница за страницей, чтобы его раздвинуть и промапить странички.

| Сообщение посчитали полезным:

Незнаю это глюк иды или как?
66:0FCF
Олька= 66:0FCF BSWAP DI
ИДА =
db 66h
bswap edi

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

приложение нужно было выставить как 32 бита а не 16, что бы префиксы не показывало

| Сообщение посчитали полезным:

daiver хочешь кидай свою прогу с idb куда то, всу дружно посмотрим

| Сообщение посчитали полезным:

reversecode а нече, что стоит 32, и остальные команды декомпиляца норм?
И если ты заметил
ИДА =db 66h bswap edi было бы 16 былобы di

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Эта команда обнуляет DI, а значит не ведёт себя как bswap вообще.

| Сообщение посчитали полезным:

66-префикс 16 битов для операнда. Другой вопрос, что 16-битный бсвоп недокументирован, хотя и юзается в том же вмп.

| Сообщение посчитали полезным:

Спасибо Archer именно это я и хотел услышать.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Ага, ждём малварь с этим анти-эмуляторным трюком...

VodoleY
не имел в виду тебя, форум читают много людей

| Сообщение посчитали полезным:

int чего чего а малварь точно писать не буду.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Можно ли при анализе длл , в IDC скриптах иды узнать экспортируется функция или нет?
GetFunctionFlags возвращает одно и тоже значение как для экспортной так и для обычной функции, хотя иде известно что функция экспортируется (Exported entry)

| Сообщение посчитали полезным:

Rustem а посмотреть в любом РЕ-эксплорере список экспортируемых фукций разве нельзя? или TDUMP вам в помощь

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY можно, но в иде можно и количество параметров узнать, в пе-тулзах нет

нашел уже . экспорт по-другому обрабатывается:
hxxp://www.idabook.com/examples/chapter_15/listing_15_5.idc

| Сообщение посчитали полезным:

Rustem кстати спасибо, что напомнил, вроде в этой ветке народ искал эту книгу, у когото (кто пупил официально) просили отсканировать. Вот появилась
hттp://openfile.ru/270445/ если че свистите переложу, я скачал

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: