Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

freeExec пишет:
А как интерпритировать вот такие заумные функции выдаваемые ИДА ?
"options" - "demangled names" - "names"

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Да это под Linux дебаг. Софтина создает форк, и все сама выходит. Как мне автоматом перейти в потомка не знаю (. Также как можно выполнить шаг назад ?

| Сообщение посчитали полезным:

под линуксом своих отладчиков хватает, и даже те которые умеют аттачится к процессу
зачем таким сексом с идой заниматся я не понимаю
идой разбирать код хорошо, для этого она и предназначена
а дебаггер ильфак для бабла добавил.

| Сообщение посчитали полезным:

Как иду заставить генерить pushfd а не pushf?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Пропатчить ;)

| Сообщение посчитали полезным:

А легально никак что ли? Это же либо явный баг, либо я просто настройками пользоваться не умею. Когда выбираю другой проц, пень 4 например она закрывается говорит неверный проц.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Это же либо явный баг, либо я просто настройками пользоваться не умею.
А в чём баг?
У большинства ассемблеров pushf (также как iret и т.д.) - соответствует текущей разрядности, а для указания конкретной разрядности независимо от текущего режима есть pushfw/pushfd.
Так что это не баг.

| Сообщение посчитали полезным:

PE_Kill пишет:
Как иду заставить генерить pushfd а не pushf?
Опкоды у них одинаковые, значит разницы для дизассемблера они не представляют. А для чего вам нужна мнемоника pushfd, используйте pushf.

-----
Everything is relative...

| Сообщение посчитали полезным:

Ok, тогда как masm32 сказать, что pushf это 32 битный оператор?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Мда, MASM тут отличился.
PUSHFW не знает вообще, PUSHF всегда 16-битный.
И как ни странно то же самое с PUSHA, IRET и другими.
Единственный вариант который я вижу, это в IDA скриптом исправить все PUSHF на PUSHFD, а PUSHFW на PUSHF при помощи manual instruction.

Вообще в IDA ж написано "Target assembler: Generic for Intel 80x86".
Совместимости с MASM никто не обещал

| Сообщение посчитали полезным:

PE_Kill
используй JWasm

-----
EnJoy!

| Сообщение посчитали полезным:

cppasm пишет:
Мда, MASM тут отличился.PUSHFW не знает вообще, PUSHF всегда 16-битный.И как ни странно то же самое с PUSHA, IRET и другими.

Откуда вы взяли PUSHFW? такой мнемоники несуществует. Курим маны интела и видим:


Походу баг иды и для наглядности влепили W.

| Сообщение посчитали полезным:

V0ldemAr пишет:
Откуда вы взяли PUSHFW? такой мнемоники несуществует. Курим маны интела и видим
MASM/TASM/WASM
Продолжать?

А ещё в манах SALC к примеру нету, так что - её тоже не существует?
Как нет и AT&T синтаксиса - так что, все ассемблеры с AT&T неправильные?
В манах опкоды описываются, мнемоники это чисто для справки.

| Сообщение посчитали полезным:

cppasm пишет:
MASM/TASM/WASMПродолжать?

cppasm пишет:
Мда, MASM тут отличился.PUSHFW не знает вообще, PUSHF всегда 16-битный.

Противоречите самому себе? PUSHFW никогда небыло в МАСМе ...

error A2008: : PUSHFW

SALC недокументирована ее МАСМ тоже незнает как и другие F1 / icebp например


...

Решил покопатся в ИДЕ и погуглить немного и вывод таковой что PUSHFW был всегда в ТАСМе в МАСМе эго небыло как видно с картинки в ИДЕ есть только Generic и TASM так что тот Generic думаю основан на ТАСМе. Сам когда-то начинал учить ассемблер с ТАСМа так думаю и с IDA было от тогда и осталась такая имплементация только инструкции придавались ...



| Сообщение посчитали полезным:

Выходит, что это действительно баг IDA, т.к. при огромном превосходстве 32 битных операторов она должна ИМХО генерить pushfd а не pushf.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Кто-нибудь работает с Borland C++ в иде? Ищу скрипт для RTTI борландской си плюс, есть на опенрсе , но там он с ошибкой , туда особо не лез , времени мало .. вероятно дело в том что там он для 4.9 иды ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Подскажите пожалуйста, где можно найти FLIRT signatures for Visual C++ 2010 ?

| Сообщение посчитали полезным:

idiMAN
попросите у того у кого есть IDA 5.7
из ченджлога

+ added FLIRT signatures for Visual C++ 2010 and C++Builder 2010

во время написания сего поста появилась идея - а что если в версии идадемо5.7 есть такое?
качнул www.hex-rays.com/idapro/idadowndemo.htm
поставил, глянул сигнатурки yfrog.com/c8idademo57sigsp
сравнил с 55 yfrog.com/72idademo57sig2p
интересно, таки да, есть! (если только ето не урезанная а полная версия сигнатур)

| Сообщение посчитали полезным:

sendersu пишет:
(если только ето не урезанная а полная версия сигнатур)
Не урезанные - файлики полные.

-----
Everything is relative...

| Сообщение посчитали полезным:

sendersu, Vamit Спасибо, так и сделал, помогло...

| Сообщение посчитали полезным:

А у кого есть последний (6.0) FLAIR ? Очень нужен pmacho.exe из этого комплекта ...

| Сообщение посчитали полезным:

А ты сайт вообще смотрел? Последний FLAIR-5.7. И он уже был релизнут.

| Сообщение посчитали полезным:

Действительно в разделе downloads от 6.0 присутсвует только SDK (что странно). Однако в разделе idapro/60/index.html:
...
KERNEL
------
...
+ FLIRT: added parser for Mach-O object files (pmacho)
...

Может быть для 6.0 FLAIR теперь идёт в составе SDK ?

| Сообщение посчитали полезным:

Как в IDC узнать видимый адрес для ea?
Например для

и ea = 10001002 возвратило 10001000.

jump + ScreenEA не гламурно.

-----
старый пень

| Сообщение посчитали полезным:

Нет, FLAIR не идёт в составе СДК, 5.7 последний.

| Сообщение посчитали полезным:

Помогите поправить стек ф-ии ...
Вот листинг:


Параметры передаются и возвращаются через регистры. В стеке регистры не сохраняются.
Функция объявлена как _usercall:
int __usercall sub<eax>(struct1 *a3<ebx>, struct2 *a2<edi>, struct3 *a1<esi>);
Интересует строка 03: ".text:FFFF0C72 004 83 EC 44 [u]sub esp, 44h"
Как я понял присутсвует Frame Pointer Delta (FPD) ? Как его расчитать, чтобы у IDA не рвало крышу ?

| Сообщение посчитали полезным:

awoland пишет:
Как его расчитать, чтобы у IDA не рвало крышу ?
Ctrl+P на начале функции всегда это место проходит правильно. Не вижу срыва крыши.

Если же срыв стека идет при автоанализе, то можно сделать ундефайн всей функции и снова Ctrl+F5, в старых ИДа иногда помогало

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
Ctrl+P на начале функции всегда это место проходит правильно. Не вижу срыва крыши.

Если бы всё работало правильно, я не задавал бы этот вопрос и не объявлял бы функцию как _usercall.
Код сгенерен GCC в формат PE-executable. А как известно, IDA до сих пор не может правильно разобрать передачу параметров через регистры в GCC коде.
В хелпе IDA про FPD вообще невнятно написано:

"Sometimes, EBP points to the middle of the stack frame. FPD (frame pointer delta) is used to handle such situations. FPD is the value substracted from the EBP before accessing variables. An example:


In our example, the saved registers area is empty (since EBP has been immediately initialized before saving EBX and ESI). The difference between the 'typical BP' and 'real BP' is 0x78 and this is the value of FPD.
After specifying FPD=0x78 the last instruction of the example becomes

lea eax, [ebp+78h+var_4]

where var_4 = -4 "
Откуда взялся FPD=0x78 и как расчитывался если "sub esp, 588h" ?
Вот о чём я спрашивал.

| Сообщение посчитали полезным:

awoland пишет:
Откуда взялся FPD=0x78 и как расчитывался если "sub esp, 588h" ?
Вот о чём я спрашивал.
Теперь более понятно. Но кто тебе мешает вручную задать на первой инструкции функции нужное смещение стеку, а не подгонять стек с помощью конвенции вызова? Alt+K тебе в помощь...

PS: Наверняка на функции стоит BP based frame, но это верно только в этом случае
.text:00448F67 push ebp
.text:00448F68 mov ebp, esp
у тебя esp-0х78 отсюда и смещение, если же внутри функции доступ к локальным переменным смешанный через esp и ebp, то поможет только Alt+K в нужных местах или убери галку с BP based frame и отюстируй стек вручную.

-----
Everything is relative...

| Сообщение посчитали полезным:

Утро доброе!
Как убрать комментарий в строке 2, ида его создает автоматически и соотвессно в графическом представлении функция уже не имеет целостного вида.

| Сообщение посчитали полезным: