Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

VodoleY пишет:
Вот появилась

http://www.exelab.ru/f/action=vthread&forum=2&topic=2387&p age=21#4

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB Согласен, неправ , зато тут линке самое место

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Никто не видел флирт сигнатуры для DevExpress? Если нет, то какой тулзой можно... лучше всего их создать? И насколько это реально?

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
флирт сигнатуры

Ответ в вопросе . На то они и флирт сигнатуры, что FLIRT их генерит.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

DenCoder пишет:
Никто не видел флирт сигнатуры для DevExpress? Если нет, то какой тулзой можно... лучше всего их создать? И насколько это реально?
Только недавно вроде как где-то пролетал вопрос.
Описание FLIRT - Fast Library Identification and Recognition Technology

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

Почитал вариант chm-книжки по иде, нужен вроде как парсер для OMF-библиотек (обычно используются борланд-компиляторами). Таковой есть в составе FLAIR Tools, только пишется, что для каждой версии нужен соответствующий архив. Попробую поискать для нашего 5.5...

neomant, благодарю!... Но мало подходит

-----
IZ.RU

| Сообщение посчитали полезным:

Попробую поискать для нашего 5.5...

У меня FLAIR 5.2, делал недавно сигнатуры и все подходит для 5.5, здесь дело не в версии Иды и FLAIR , а в том, что бы версии библиотек и компилятора точно совпадали с теми, которые применялись для компиляции, тогда будет минимум ошибок в распознавании.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

у кого оффициально купленая IDA, просьба: стукните дурному ильфаку пусть флитр обновляет регулярно
для VC/CRT/SRC в особенности
задолбало
простых VC функций memcpy memmove не находит, что уж говорить про специфичные

и если кто может, дайте флирт с саааааамой последней IDA, возможно даже после update(который доступен для оф пользователей)
поиграюсь, можен он что определит

| Сообщение посчитали полезным:

reversecode
А гугл у вас сломался?

tport.org/

| Сообщение посчитали полезным:

Вообще-то формат FLIRT расписан

-----
IZ.RU

| Сообщение посчитали полезным:

int
))кто ж знал что это уже на паблик в открытую выкладывают, раньше все по приватам шифровали

DenCoder
мне от этого не легче, и анализатору тоже
собирать свой флирт у меня пока что желание нет, хотя все к этому и идёт

| Сообщение посчитали полезным:

может кому то в давние времена удалось поиметь скриптик oop_re.py из bh-dc-07-Sabanal_Yason.pdf
поделитесь) очень хочется посмотреть что он умеет
аналоги не предлагать, я и так о них в курсе

| Сообщение посчитали полезным:

Создание своих сигнатур функции для IDA
Делал для себя, получилось типа метода и набора IDC-скриптов. Выкладываю, может кому пригодится

Описание
Предполагается, что реверсер определил используемые библиотеки,
и осталось только распознать функции библиотеки в исследуемой программе.
Метод работает на библиотеках с открытими исходниками.
Позволяет распознать функции библиотеки в исследуемом ехе и сократить время реверса

Требования
1. определить использованный компилятор и настройки компиляции
2. определить имя библиотеки (по строкам getstrings.idc)
3. находим исходники либы в Интернете
4. Компилируем библиотеку или создаем свой EXE с использованием этой библиотеки, с этими же настройками. С генерацией MAP файла
5. Грузим полученный файл в IDA
6. Подгружаем MAP-файл в IDA. (map2ida.idc)
7. Применяем скрипты sigcreate.idc для создания сигнатуры. Создаются файлы c:\sigcreat.txt, c:\sig.bin
8. Загружаем исследуемый файл в IDA.
9. Применяем sigapply.idc для именования функции в исследуемой программе
10. Если функции не определяются, скорее всего не совпадают настройки компиляции идем к п.4

**************
Как определить библиотеки?
Извлечь строки из ехе и поискать копирайты в них
**************
Как определить компилятор?
* Например утилитой PEID
* Самой же идой
* Для VisualC++ есть метод по полю Linker Info PE файла
6.0 VisualC++ 6
7.0 VisualC++ 2002
7.10 VisualC++ 2003
8.0 VisualC++ 2005
***********
Ключи оптимизации определяются легко, когда есть опыт.
Скорее всего вряд ли будут отличаться от тех, что по умолчанию

Скрипты лежат здесь:
http://blackninja2000.narod.ru/files/idasignat.zip

| Сообщение посчитали полезным:

Rustem
это делает flirt
и потом, был еще вариант плагина который мог делать тоже самое что и flirt
только сиги в нём можно было задавать как в PeID, в текстовом фале

| Сообщение посчитали полезным:

reversecode то что флирт, я в курсе)
В свое время сдк не было, сделал на скриптах
У меня тоже можно в текстовом файле и все такое

| Сообщение посчитали полезным:

А нет ли в паблике курсов по IDA Pro? Можно хотя бы их название.

| Сообщение посчитали полезным:

А ни у кого нет сигнатур на crt и stl от VC 6.0, а то не распознается с теми сигнатурами что у иды чуть меньше чем ничего.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

yanus0 пишет:
А нет ли в паблике курсов по IDA Pro?
Что есть курсы в паблике? Материалы с курсов?
Потому что вот такого валом:
reverse_engineering_training

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx
Да именно такое я имел виду. Буду признателен, если выложите.

| Сообщение посчитали полезным:

Hexxx пишет:
А ни у кого нет сигнатур на crt и stl от VC 6.0, а то не распознается с теми сигнатурами что у иды чуть меньше чем ничего
Моими скриптами сделай, сигны. Шестой студии под рукой нет.
Имхо у IDA STL вообще никак не распознается

| Сообщение посчитали полезным:

Есть ли добрый человек, который сделает сигны для StreamSec под делфи 7? У меня сейчас не стоит Делфи, и места под него нет.

| Сообщение посчитали полезным:

Rustem пишет:
Имхо у IDA STL вообще никак не распознается
Частично распознается. std::string без проблем. Проблему сигнатур решил по-своему:
rebl0g.wordpress.com/2010/10/12/плагин-к-ida-для-поиска-сигнатур-по-coff-файл/

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

int пишет:
Есть ли добрый человек, который сделает сигны для StreamSec под делфи 7
www.streamsec.com/downloads.asp какой из?

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Какой-нибудь из этих: sourceforge.net/projects/openstrsecii/files/

В принципе я уже руками разбирать научился, но это очень неприятно делать. Либа использована в ASProtect SKE.

| Сообщение посчитали полезным:

Hexxx
чем распознается STL частично и std::string полностью?
тем плагином или чем то другим?
помоему STL в obj не идет

| Сообщение посчитали полезным:

reversecode пишет:
тем плагином или чем то другим?
Тем плагином. Я скармливал LIBCP.LIB и находились методы std::string. Но думаю можно попробовать и с контейнерами что-то получить. Пишем свою прогу, которая юзает несколько самых нужных методов контейнера. Собираем, получаем obj, все методы шаблона окажутся там. Юзаем этот obj для распознавания методов контейнера в коде других программ Часть методов видоизменится, но часть все равно останется прежней. А это лучше чем ничего.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

reversecode чем распознается STL частично и std::string полностью?
У меня распознает и даже по дефолту,а после шаманства и Boost видит.
версия IDA 5.5.
Шаблоны по дефолту в Obj не идут.
Вообще шаблоны довольно сложная тема,их то не все компилеры нормально понимают.

Add:
Я сторонними плугами не пользуюсь. Только родными и своими.
Способ Hexa вполне рабочий.
У мну дрогой способ,но не скажу какой.
Вообще многие алго на шаблонах хрен востановишь-надо не хилые ресурсы ибо компилятся не однозначно.
легче по смыслу написать.

| Сообщение посчитали полезным:

Hexxx
странно, надо будет в libcp заглянуть, я не думаю что там шаблоны могут быть - это ж шаблоны))
во всяком случае надо потестить на тех программах что уже разобраны
что бы проверить насколько верно оно находит то что есть

ps плагин в блоге под какую версию иды собран?

F_a_u_s_t
ты про этот плагин или про что говоришь?
если о чем то другом - то делись методикой

мне вот например интересно ильфаковского хекрейс шаблоны отделить от всей каши
там есть из stl xtree и в ручную его разбирать не охота

ps но методика не собирать каждый раз флирт, а скормиливать уже .lib или .obj мне нравится)

| Сообщение посчитали полезным:

reversecode
reversecode пишет:
я не думаю что там шаблоны могут быть

для стринга есть явное инстанцирование в коде STL, поэтому они и попали в либу.

да и , чтобы все функции шаблонного класса оказались в obj, достаточно явно инстанцировать.

| Сообщение посчитали полезным:

Hexxx
Вместо obj,lib , можно для создания сигнатур и скомпиленый ехе засунуть в иду и мап файл, тоже все распознается

| Сообщение посчитали полезным: