Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Сказали уже, смотри в отладчике. Если это ntdll, то там переход в ринг0 через sysenter/int 2e, и он вне длл расположен.

| Сообщение посчитали полезным:

Fairhawk
название библиотеки конечно же тайна покрытая мраком?
и скриншот вы тоже не хотите показать?

| Сообщение посчитали полезным:

User32.dll

| Сообщение посчитали полезным:

Всё сказанное мной 2 постами выше относится в равной степени и к user32.dll
А ещё писать в 2 темах одно и то же плохо.

| Сообщение посчитали полезным:

Archer, тут тему удалили просто.
Не подскажешь как в windbg посмотреть, что по этому адресу находиться?

| Сообщение посчитали полезным:

Никто тот топик не удалял. Загляни в свой профиль, там есть линки на последние созданные темы
https://ssl.cracklab.ru/f/action=vthread&forum=5&topic=17862&page=0#1 И заканчивай уже писать в этот топик не по теме.
Виндбг - u addr

| Сообщение посчитали полезным:

Fairhawk
все там правильно на скриншоте, ошибок никаких нет, и IDA здесь не причем
качайте windows inside 5 версию и читайте, об устройстве винды

| Сообщение посчитали полезным:

Ктонить в иде враперы ковырял? Есть прога , защищена комплексом методов , один из них это врапер длл что подгружается при старте программы ... Проблем вообщем то нет , но при отладке , ссылки на импорт имеют вид call adress near , где в дворде лежит адрес апи функции ... проблема в том что ида их почему то не видит , а когда я захожу по щелчку , то весь ундефайнед сектор быстро конвертируется в код, я делаю опять ундефайнед , и делаю данные как даблворд , тем самым апи видна уже , но ссылки ида так и не хочет видеть , получается чтобы перелопатить весь импорт нужно вручную тыркать , анализ же каждый раз хочет автоматом сконвертировать дворды импорта в код , вопрос , как это автоматизировать , и почему происходит автоматический конверт , когда я ничего не нажимаю ... без этого код очень нечитабелен , и имеет в основном юнкон коллс ... На проге был прот , но он снят , и проблем в этом нет точно .. прога написана на си .. в остальном все как обычно ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Интересный плагин попался под руки

http://code.google.com/p/optimice/
This plugin enables you to remove some common obfuscations and rewrite code to a new segment.
в архиве optimice.zip автор чистит код Zeus'а

| Сообщение посчитали полезным: mak

Все чаще вылазиют плаги по деобфускации на питоне) И примеров кода в сети полно , целые парсеры асма на питоне, нужно быстрее изучать ...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Господа, можно ли как-нибудь в иде объявить дальний указатель? Конкретно, требуется указать прототип для функции fmemmove, который в заголовочном файле выглядит так:

void __far * __cdecl fmemmove(void __far *, const void __far *, size_t)

При попытке впендюрить вышеприведенный прототип ида ругается "impossible to set member type information!"

Прошу прощения, вопрос снимается. У меня в void __far * __cdecl не было пробела между * и __cdecl, видимо ида не могла пропарсить строку. Чувствую себя последним идиотом.

| Сообщение посчитали полезным:

У меня возникает проблема sp-analysis failed при дизасемблировании некоторых функций.
Гугл копал.
Нашёл способ только способ, где нужно поменять пределы функции. Но он не подходит т.к. функция заканчивается однозначно. "retn 10" например

| Сообщение посчитали полезным:

1 слишком старая версия IDA
2 слишком новая версия IDA
и 1,2 следует что, не правильно определен стек
в ручную выставлять, если стек не правильно посчитат по функциям
соответсвенно правильно его посчитать, и в каждой функции выставить

либо как вариант,как делаю я

к примеру IDA плохо справляется с enter leave инструкциями по стеку
и тоже пишет sp failed
я в бинаре патчу на nop
а потом разбираю

| Сообщение посчитали полезным: Usulgurt

Занопивание leave помогло, thanx. Функция делает leave, но не делает enter.

| Сообщение посчитали полезным:

Доброго времени суток. Вопрос как скормить IDA PRO 55 tlb? то есть есть исполняемый файл представляющий собой программу с инпроц ком сервером, там есть обьект Application, у него есть метод SaveAs, мне нужно найти код отвечающий за этот метод. Как это сделать костылями примерно я понимаю, напрмер в прогамме на vb написать в начало миетода(кода ) 0xcc и запустить под отладчиком и тд
Хочется нормального применений TypeLib. ComPlugin эксепшеонит. в 5.2 такая же итстория.
достать типы из TypeLib нет проблем, как локализовать код?
Спасибо.

| Сообщение посчитали полезным:

1 взять любой декомпиль VB
2 запустить vb декомпиль
3 получить map файл
4 запустить IDA
5 промапить функции через map файл
дальше разберетесь

add ааа тебе не vb разрбрать, так бы сразу и сказал. я просто сонный не разобрал твоих разнородных мыслей

| Сообщение посчитали полезным:

reversecodetypelib не от vb контрола, это с++ приложение

| Сообщение посчитали полезным:

tlb комовская что ли либа? тоесть активикс?
кроме интерфейса по guid ты там ничего не вытянешь
остальное ручками разбирать
ну и так как ты сказал 0xcc луче всего поймать

ты ж этот имел ввиду комхелпер?
http://exelab.ru/f/action=vthread&forum=1&topic=13854&page=-1

| Сообщение посчитали полезным:

reversecode
ActiveX Exe, там вшипта tlb и есть сервер внутрипроцессный.
Про 0xcc проще всего в vb6. но там пока не допер как получить адрес метода. Хотя
где то был на вб перехват ком
Про ком хелпер нет, гдето толи на вудмане то ли еще где то бинарь отрыл
хотя типа сам обьект содержит адрес VTBL
попробовал comhelper2 не может загрузить typelib

| Сообщение посчитали полезным:

typelib вроде никак в ida не достается, кроме вручную
и готовыхы решений для вытягивания typelib я тоже не видел

yanus0
это не мне это punxer надо
но все равно спасибо) полезный утиль

| Сообщение посчитали полезным:

punxer
может это вам поможет --> Improve Your Debugging by Generating Symbols from COM Type Libraries<--

| Сообщение посчитали полезным:

reversecode
что за полезный утиль?

| Сообщение посчитали полезным:

можно ли как-то в иде при достижении бряка вывести что-нибудь в "Output window", например, значение регистра какого-нибудь?

| Сообщение посчитали полезным:

в скрипте
Message("%x\n", eax);

| Сообщение посчитали полезным:

redlord пишет:
в скрипте
Message("%x\n", eax);
ну а как тогда выполнить определенный скрипт на бряке?
с GetDebuggerEvent возиться не хочется

| Сообщение посчитали полезным:

File->Idc Command

| Сообщение посчитали полезным:

забыл сказать, выводить надо автоматически

| Сообщение посчитали полезным:

Подскажите, как в IDA PRO 5.5 cделать следующее:
Стандартная структура Windows объявлена с использованием макроса.
Без определения макроса размер структуры = 0x20
После определения макроса размер структуры становится больше.
IDA берёт стандартный тип структуры размером 0x20.
Как сделать так, чтобы она использовала расширенный тип структуры.
Вероятно, для этого следует определить макрос. Пытался сделать это в Compiler setup | Predefined macros, но не помогает.

| Сообщение посчитали полезным:

punxer
Про реврес ole/com много написано, вот можно почитать:
hттp://education.kulichki.net/comp/hack/28.htm
hттp://www.openrce.org/articles/full_view/17

| Сообщение посчитали полезным:

_ruzmaz_
Edit Breakpoint -> Condition
и там пишешь без точки с запятой, в блоге у ильфака есть примеры, кстати

| Сообщение посчитали полезным: _ruzmaz_