Сейчас на форуме: -Sanchez- (+8 невидимых)

 eXeL@B —› Основной форум —› Использование IDA Pro
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 50 . 51 . >>
Посл.ответ Сообщение

Ранг: 271.5 (наставник), 12thx
Активность: 0.150
Статус: Участник
Packer Reseacher

 Создано: 08 августа 2008 18:53
· Личное сообщение · #1

Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 05 июня 2011 17:23
· Личное сообщение · #2

а никому не попадался плагин к IDA, для заполнения выделеной курсором области,
.text сегмента произвольным значением например 90h,nop

так сказать некое подобие для чистки ватермейков
причем чистить в самом исполняемом файле желательно, не обязательно
достаточно что бы почистило с самой базы idb, для дальшейшего нормального отображения и анализа



Ранг: 2.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 05 июня 2011 17:50
· Личное сообщение · #3

Привет. Есть к вам вопрос. В теме про Symbian видно давно все молчат, решил написать сюда. Я не супер мастер, и занимаюсь этим недавно. Есть файл, который отвечает за нажатие клавиши и переключения профиля(обычный\беззвучный). Подскажите пожалуйста, кто знает, как передается значение профиля.
Code:
  1. .text:82900834                 PUSH    {R4-R6,LR}
  2. .text:82900836                 MOVS    R4, R0
  3. .text:82900838                 LDR     R0, [R0,#4]
  4. .text:8290083A                 CMP     R0, #0
  5. .text:8290083C                 BNE     loc_82900844
  6. .text:8290083E                 BLX     CreateProfileEngineL(void)
  7. .text:82900842                 STR     R0, [R4,#4]
  8. .text:82900844
  9. .text:82900844 loc_82900844                            ; CODE XREF: sub_82900834+8j
  10. .text:82900844                 LDR     R0, [R4,#4]
  11. .text:82900846                 LDR     R1, [R0]
  12. .text:82900848                 LDR     R1, [R1,#0x10]
  13. .text:8290084A                 BLX     R1
  14. .text:8290084C                 MOVS    R5, R0
  15. .text:8290084E                 LDR     R0, [R4,#8]
  16. .text:82900850                 CMP     R0, #0
  17. .text:82900852                 BEQ     loc_8290085E
  18. .text:82900854                 LDR     R1, [R0]
  19. .text:82900856                 LDR     R1, [R1,#8]
  20. .text:82900858                 BLX     R1
  21. .text:8290085A                 MOVS    R0, #0
  22. .text:8290085C                 STR     R0, [R4,#8]
  23. .text:8290085E
  24. .text:8290085E loc_8290085E                            ; CODE XREF: sub_82900834+1Ej
  25. .text:8290085E                 STR     R5, [R4,#8]
  26. .text:82900860                 POP     {R4-R6,PC}


Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 06 июня 2011 11:12
· Личное сообщение · #4

Товарищи, как бы вы отнеслись к тому, чтоб на паблике появился перевод на русский The Ida Pro Book от Криса Игла? Я терзал гугль, но не нашёл там чего-то подобного. Только руководство от Касперски на русском 100 летней давности. Но, может, это только я не знаю, что вышеупомянутый перевод уже существует?

-----
Stuck to the plan, always think that we would stand up, never ran.

Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 06 июня 2011 12:00
· Личное сообщение · #5

И кто это читать будет? Если уже сейчас новички даже статью осилить не хотят или не могут... Я лично привык уже к тому, что на русском языке ничего не найдёшь )))



Ранг: 23.4 (новичок), 4thx
Активность: 0.020
Статус: Участник

 Создано: 06 июня 2011 12:24
· Личное сообщение · #6

я делаю так, перевожу справку chm или pdf ( канешно если это не картинки в pdf ) и декомпилирую ее в html и Google Chrome из перводом читаю, уже привык, также из книгой по IDA Pro сделал в chm, и другие так книги читаю на английском, чуть что подправляю.

Вот архив скачанных сайтов idaprobook.com и binarypool ( кроме flirt52 )и еще книга там там данные на апрель 2011 года:
--> Link <--

Скорее всего это книга 2011 года вышла: -->IDA Pro Book 2nd Edition Link <--



Ранг: 137.9 (ветеран), 45thx
Активность: 0.080
Статус: Участник

 Создано: 06 июня 2011 13:29
· Личное сообщение · #7

ARCHANGEL пишет:
The Ida Pro Book от Криса Игла
No Starch Press; Second Edition edition (June 22, 2011) так она вроде еще не издалась???? Или уже есть?




Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 06 июня 2011 14:29
· Личное сообщение · #8

Это она в бумажном виде выйдет только в конце июня, а в электроном уже можно купить.

-----
Лучше быть одиноким, но свободным © $me

Ранг: 2.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 06 июня 2011 15:03
· Личное сообщение · #9

А мне поможете? Давно хотел найти.



Ранг: 137.9 (ветеран), 45thx
Активность: 0.080
Статус: Участник

 Создано: 08 июня 2011 00:30
· Личное сообщение · #10

Я так понимаю что, уже есть IDA Pro Book 2nd Edition в электроном варианте в некоторых пользователей форума, буду благодарен если выложите, можно в ПМ. Спасибо.




Ранг: 170.1 (ветеран), 96thx
Активность: 0.090.01
Статус: Участник

 Создано: 08 июня 2011 01:51
· Личное сообщение · #11

Надеюсь, уместно тут. По случаю, перекомпилировал пару старых плагинов под 5.5

1. Red Plait Cyrillic Plug-In
2. Ilfak FindCrypt2 Plug-In

2287_07.06.2011_EXELAB.rU.tgz - ida_55_plugz.rar




Ранг: 170.1 (ветеран), 96thx
Активность: 0.090.01
Статус: Участник

 Создано: 08 июня 2011 02:05
· Личное сообщение · #12

reversecode пишет:
для заполнения выделеной курсором области

А у IDA есть метод получения размера выделения? Чтобы не кликать дважды и не задавать вручную. Если да,
то все просто. Переделать, например, этот: http://www.openrce.org/downloads/details/35/Get_ASM




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 08 июня 2011 02:30 · Поправил: reversecode
· Личное сообщение · #13

gazlan смотрел на SDK, ничего похожего не увидел

ps
хотя в IDA 5.5 появилась опция, игнорирование выделеной области asm комманд для анализа
с пунктами prolog, epilog, switch, все конечно замечательно, выделеные комманды игнорируются для анализа, но IDA всталяет в начале или конце блока этих команд метку, что дальше идите лесом-полем
в итоге пользы я от такой опции не вижу вообще

ps кто в оффициально купленой пользуется,
передайте ильфаку привет, пусть в фьютерс включит сие пожелание, может лет через 100 реализует

видимо прийдется в ручную на бумажечку выписывать блоки, а потом idc забивать WriteByte 90h




Ранг: 170.1 (ветеран), 96thx
Активность: 0.090.01
Статус: Участник

 Создано: 08 июня 2011 09:05
· Личное сообщение · #14

reversecode пишет:
придется вручную
To make ur life easy


6558_07.06.2011_EXELAB.rU.tgz - Nopper.rar

| Сообщение посчитали полезным: reversecode


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 08 июня 2011 12:43
· Личное сообщение · #15

gazlan
слушай, а интересная мысль
можешь еще в этот плагин добавить дизам длин комманд
и что бы при запуске плагин брал текущую позицию курсора и спрашивал только,
сколько комманд нужно очистить

ps у меня 5.2 ида(




Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

 Создано: 08 июня 2011 12:58
· Личное сообщение · #16

auto ea, len, i;
ea = ScreenEA();
len = AskLong(0, "Enter number of bytes for NOPing");
if(len > 0) {
for(i=0; i<len; i=i+1)
PatchByte(ea+i, 0x90);
}

и зачем плаг? Кинь в окно IDC code и вызывай сколько нужно раз (между вызовами не очищается).

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: reversecode


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 08 июня 2011 13:09 · Поправил: reversecode
· Личное сообщение · #17

OKOB дизасм длин коммад осталось добавить)))

дизасм длин можно взять by x64
www.rsdn.ru/forum/src/3120789.1.aspx

ps абсолютно не срочно, у меня никогда ничего не горит )




Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

 Создано: 08 июня 2011 13:25
· Личное сообщение · #18

reversecode пишет:
дизасм длин коммад осталось добавить

Если срочно, то сделай внешнее приложение принимающее через командную строку последовательность байт и возвращающую в ОСь длину и юзай.

auto ea,s,len;

ea = ScreenEA();
s = form("LENDIS.exe %02X %02X %02X %02X %02X %02X %02X %02X %02X %02X",
Byte(ea), Byte(ea+1), Byte(ea+2), Byte(ea+3), Byte(ea+4),
Byte(ea+5), Byte(ea+6), Byte(ea+7), Byte(ea+8), Byte(ea+9));
len = Exec(s);

-----
127.0.0.1, sweet 127.0.0.1


Ранг: 170.1 (ветеран), 96thx
Активность: 0.090.01
Статус: Участник

 Создано: 08 июня 2011 13:56
· Личное сообщение · #19

reversecode пишет:
добавить дизам длин
Это, наверное, можно даже средствами IDA (в ней тоже есть дизассемблер ), только не обещаю быстро, в инете я обычно, только по выходным.




Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

 Создано: 08 июня 2011 14:11
· Личное сообщение · #20

reversecode пишет:
дизасм длин можно взять by x64

Вероятно кривой Для строки

.text:00401000 8B 44 24 08 mov eax, [esp+8]

дает длину 1245043

а метод вполне рабочий, только нужно добавить путь к файлу

auto ea,s,len;

ea = ScreenEA();
s = form("c:\LENDIS.exe %02X %02X %02X %02X %02X %02X %02X %02X %02X %02X",
Byte(ea), Byte(ea+1), Byte(ea+2), Byte(ea+3), Byte(ea+4),
Byte(ea+5), Byte(ea+6), Byte(ea+7), Byte(ea+8), Byte(ea+9));
len = Exec(s);
Message("Len of command %d\n", len);


eaa1_08.06.2011_EXELAB.rU.tgz - LENDIS.RAR

-----
127.0.0.1, sweet 127.0.0.1


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 08 июня 2011 15:10 · Поправил: reversecode
· Личное сообщение · #21

декодера длин в idc не увидел
но есть такое
http://www.hex-rays.com/idapro/idadoc/1218.shtml
тоесть декодируя одну, патчить ее и прыгать дальше узнавая размер
и так по количеству комманд

redlord
угу) оно, спс



Ранг: 33.4 (посетитель), 24thx
Активность: 0.020
Статус: Участник

 Создано: 08 июня 2011 16:14
· Личное сообщение · #22

reversecode

http://www.hex-rays.com/idapro/idadoc/269.shtml
не оно?

Message("%d\n",ItemSize(ScreenEA()));




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 09 июня 2011 17:13 · Поправил: reversecode
· Личное сообщение · #23

остановился на такой версии
правда hidearea почему то не работает
add точно, я видимо ну другую функцию смотрел, фиксед
Code:
  1. #include <idc.idc>
  2. static main(void)
  3. {
  4.   auto ea, end, i, len;
  5.   ea = ScreenEA();
  6.   end = AskAddr(0, "Enter endaddrs for NOPing");
  7.  
  8.   len = (end-ea);
  9.   Message("%x %x len %d\n", ea, end, len);
  10.   MakeUnknown(ea,len,DOUNK_SIMPLE|DOUNK_DELNAMES);
  11.  
  12.   if(end > 0)
  13.   {
  14.      for(i=0; i<len; i=i+1)
  15.      {
  16.         Message("%x ", Byte(ea+i));
  17.          PatchByte(ea+i, 0x90);
  18.      }
  19.      Message("\n");
  20.      MakeCode(ea);
  21.      DelHiddenArea(ea+);
  22.      HideArea(ea+1, end, form("Obfuscation [%08X-%08X] %03d",ea,end,len),"==>","<==",-1);
  23.   }
  24. }


| Сообщение посчитали полезным: DenCoder


Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

 Создано: 09 июня 2011 18:14 · Поправил: OKOB
· Личное сообщение · #24

reversecode пишет:
правда hidearea почему то не работает

вторым параметром не длина, а конечный адрес области

HideArea(ea,end,"","","",-1);

Давно использую такую технику разгребания. В атаче скрипт использованный в 3м туре турнира. Из минусов при пошаговой трассировке все хайды раскрываются и все НОП нужно топать и потом сворачивать.

b72c_09.06.2011_EXELAB.rU.tgz - Smon_poly2.idc

-----
127.0.0.1, sweet 127.0.0.1


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 09 июня 2011 19:36
· Личное сообщение · #25

если бы IDA давала в евенты область выделеного участка,
можно было бы что то и по интереснее замутить




Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

 Создано: 10 июня 2011 04:40 · Поправил: DenCoder
· Личное сообщение · #26

reversecode, вроде можно

Code:
  1. CPU Disasm
  2. Address   Hex dump          Command                                        Comments
  3. 0045625C  /.  55            PUSH    EBP
  4. 0045625D  |.  8BEC          MOV     EBP, ESP
  5. 0045625F  |.  81C4 1CF6FFFF ADD     ESP, -9E4
  6. 00456265  |.  B8 28FB5700   MOV     EAX, OFFSET idag.0057FB28
  7. 0045626A  |.  53            PUSH    EBX
  8. 0045626B  |.  56            PUSH    ESI
  9. 0045626C  |.  57            PUSH    EDI
  10. 0045626D  |.  E8 06F30F00   CALL    00555578
  11. 00456272  |.  8D5D 0C       LEA     EBX, [ARG.2]
  12. 00456275  |.  8B45 08       MOV     EAX, [ARG.1]
  13. 00456278  |.  83E8 1D       SUB     EAX, 1D                                ; Switch (cases 1D..6E, 4 exits)
  14. 0045627B  |.  74 75         JE      SHORT 004562F2
  15. 0045627D  |.  83E8 0D       SUB     EAX, 0D
  16. 00456280  |.  74 70         JE      SHORT 004562F2
  17. 00456282  |.  83E8 40       SUB     EAX, 40
  18. 00456285  |.  74 07         JE      SHORT 0045628E
  19. 00456287  |.  83E8 04       SUB     EAX, 4
  20. 0045628A  |.  74 36         JE      SHORT 004562C2
  21. 0045628C  |.  EB 3D         JMP     SHORT 004562CB
  22. 0045628E  |>  83C3 04       ADD     EBX, 4                                 ; Case 6A of switch idag.456278
  23. 00456291  |.  8B73 FC       MOV     ESI, [EBX-4]
  24. 00456294  |.  83C3 04       ADD     EBX, 4
  25. 00456297  |.  8BC6          MOV     EAX, ESI
  26. 00456299  |.  8B5B FC       MOV     EBX, [EBX-4]
  27. 0045629C  |.  8BD3          MOV     EDX, EBX
  28. 0045629E  |.  E8 EDEAFFFF   CALL    00454D90
  29. 004562A3  |.  8985 58FFFFFF MOV     [LOCAL.42], EAX
  30. 004562A9  |.  8D8D 58FFFFFF LEA     ECX, [LOCAL.42]
  31. 004562AF  |.  8B85 5CFFFFFF MOV     EAX, [LOCAL.41]                        ; ASCII "PROP_PIFLAGS"
  32. 004562B5  |.  64:A3 0000000 MOV     FS:[0], EAX
  33. 004562BB  |.  8B01          MOV     EAX, [ECX]
  34. 004562BD  |.  E9 F8280000   JMP     00458BBA
  35. 004562C2  |>  8BC3          MOV     EAX, EBX                               ; Case 6E of switch idag.456278
  36. 004562C4  |.  E8 DFCC0200   CALL    00482FA8
  37. 004562C9  |.  EB 27         JMP     SHORT 004562F2
  38. 004562CB  |>  FF05 B4F35700 INC     DWORD PTR [57F3B4]                     ; Default case of switch idag.456278
  39. 004562D1  |.  8B15 B4F35700 MOV     EDX, [57F3B4]
  40. 004562D7  |.  83FA 64       CMP     EDX, 64
  41. 004562DA  |.  75 16         JNE     SHORT 004562F2
  42. 004562DC  |.  8B45 08       MOV     EAX, [ARG.1]
  43. 004562DF  |.  33C9          XOR     ECX, ECX
  44. 004562E1  |.  50            PUSH    EAX
  45. 004562E2  |.  68 38F55700   PUSH    OFFSET idag.0057F538                   ; ASCII "callui(), code="
  46. 004562E7  |.  890D B4F35700 MOV     [57F3B4], ECX
  47. 004562ED  |.  E8 AA361100   CALL    <JMP.&IDA_WLL.ida_checkmem>            ; Jump to IDA_WLL.ida_checkmem
  48. 004562F2  |>  53            PUSH    EBX                                    ; Cases 1D, 2A of switch idag.456278
  49. 004562F3  |.  8B55 08       MOV     EDX, [ARG.1]
  50. 004562F6  |.  52            PUSH    EDX
  51. 004562F7  |.  6A 01         PUSH    1
  52. 004562F9  |.  E8 2E371100   CALL    <JMP.&IDA_WLL.invoke_callbacks>        ; Jump to IDA_WLL.invoke_callbacks


В invoke_callbacks, я так понял, ui-код передаётся поочерёдно всем плугам в списке, которые зарегистрировали отлов ui-событий. Только у меня один Hex-Rays ловит ui...

Code:
  1. // Events marked as '*' should be used as a parameter to callui()
  2. // See convenience functions below (like get_screen_ea())
  3. // Events marked as 'cb' are designed to be callbacks and should not
  4. // be used in callui(). <b>The user may hook to HT_UI events to catch them</b>


В последней строчке не написано, что только какие-то из двух типов можно ловить...

4 часа просидел за олей, идой, IDA SDK с её hpp, поэтому проверять сейчас уже нет желания. ))

UPD. На худой конец можно отлавливать мышь {WM_LBUTTONDOWN, WM_MOUSEMOVE, WM_LBUTTONUP} и вызывать read_selection.

-----
IZ.RU


Ранг: 170.1 (ветеран), 96thx
Активность: 0.090.01
Статус: Участник

 Создано: 14 июня 2011 04:23
· Личное сообщение · #27

reversecode пишет:
добавить дизам длин команд

Добавил.

BAD news: SDK 5.2 у меня нет
Good news: работает с 6.1

48e8_14.06.2011_EXELAB.rU.tgz - Nopper.rar



Ранг: 73.7 (постоянный), 22thx
Активность: 0.040
Статус: Участник

 Создано: 23 июня 2011 02:49
· Личное сообщение · #28

yanus0 пишет:
Я так понимаю что, уже есть IDA Pro Book 2nd Edition в электроном варианте в некоторых пользователей форума, буду благодарен если выложите, можно в ПМ. Спасибо.
Тут на форуме пока не видел, так что КЛАЦ

| Сообщение посчитали полезным: plutos, Rustem, res, gena-m, antipod, yanus0, VoLT, _ruzmaz_, kp0m, xmss

Ранг: 3.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 24 июня 2011 04:30
· Личное сообщение · #29

у меня есть исходный код приложения
я пытаюсь в ida pro найти вызов нужной мне функции, но не могу
это функция не win api, а самого приложения
как это можно сделать?



Ранг: 74.1 (постоянный), 34thx
Активность: 0.030
Статус: Участник

 Создано: 24 июня 2011 07:52
· Личное сообщение · #30

CodeIgniter
собери проект с генерацией map файла, или метку в начало функции поставь, типа
MessageBox( ..."bla bla"....);
потом по строке выйдешь




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 24 июня 2011 14:21
· Личное сообщение · #31

CodeIgniter
соберите с отладочной инфо, к примеру pdb
и далее просто подгрузите символы


<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 50 . 51 . >>
 eXeL@B —› Основной форум —› Использование IDA Pro
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати