Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

часть аттачей идет лесом - error 404

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Как в IDA закодить свой процессорный модуль, для разбора пи кода?

| Сообщение посчитали полезным:

http://www.openrce.org/articles/full_view/28

| Сообщение посчитали полезным:

подскажите какой функцией из sdk, можно задать для функции прототип? т.е. то что в gui делается клавишей Y

| Сообщение посчитали полезным:

vden
set_named_type

| Сообщение посчитали полезным: vden

BSTR первые 4 байта длина остальное строка в юникоде ... бывает IDA распознаёт кусок строки, бывает всю за исключением первых 4 байт... как с этим боротся и что делать


| Сообщение посчитали полезным:

VoLT
в ручную устанавливайте

| Сообщение посчитали полезным:

В ольке всё распознаётся но вот в иде ... в ручную жесть этого я и боялся ... что ж спасибо за ответ

| Сообщение посчитали полезным:

Есть какой-нибудь мануал по дебагу х64 в иде?
Пытаюсь через ms dbg tools использовать - упорно не видит сервер. Ни через tcp, ни через pipe.
Кстати WinDbg клиент тоже не видит. Хотя сервер запущен. Файр отключен.

-----
старый пень

| Сообщение посчитали полезным:

VoLT пишет:
В ольке всё распознаётся но вот в иде ... в ручную жесть этого я и боялся ... что ж спасибо за ответ

А чего бояться? Выделил блок данных, нажал пимпочку преобразования данных в юникод и будет тебе счастье. Если имеется некоторая регулярность в данных, которую можно использовать программно, то пиши соответствующие скрипты или плагины.

| Сообщение посчитали полезным:

Erfaren пишет:
Выделил блок данных, нажал пимпочку преобразования данных в юникод и будет тебе счастье.
Для простоты и выделять ничего не нужно, просто на начале строки говоришь, что это юникод - всё остальное ида делает сама.

-----
Everything is relative...

| Сообщение посчитали полезным: VoLT

VoLT В разделе Options есть Ascii string type. Ищи там свой и ставь галку. Когда много строк такого типа по идее должно сработать на автомате.

| Сообщение посчитали полезным:

tundra37 по идее но вот на деле как раз таки и нет ...
Vamit, вот же спасибо ... дело пошло быстрее ...

| Сообщение посчитали полезным:

Всем привет. Из вопросов новичков меня сюда послали.

Возможно вопрос банальный, но гугл мне ответа не дал.
Имеется ида 5,5 добытая на просторах этого форума.
Имеется программа которая использует в перемешку строки Unicode и GBK (Китайский язык).
Хочется заставить иду использовать в отображении листинга китайские иероглифы и более менее автоматически китайские строки определять. А то неприятно выходит. Если строка начинается с латиницы - её обрубает на половине. А большинство строк вообще не опознаёт и приходится кракозябры выделять руками и делать строку.

Из гугла понял что кодировка каким то непонятным образом хранится в ida.cfg. Но внятного описания как она там хранится и что менять - я не нашёл.

Возможно ли такое сделать, если да - куда копать.

| Сообщение посчитали полезным:

Закиньте кто-нибудь .def файлы для mfc 10 аттачем.
В 9.0 они здесь
"C:\Program Files (x86)\Microsoft Visual Studio 9.0\VC\atlmfc\src\mfc"
подкаталоги intel и amd64

-----
старый пень

| Сообщение посчитали полезным:

1. кто может скомпилировать этот плагин http://hexblog.com/ida_pro/pix/fcg_v1.zip
с отладочной инфой в двух вариантах релиз и дебаг и с pdb файлами
желательно собрать под vs2010, ну или восьмой

2. поделитесь каталогом include/ от vs2010 , где есть std:: всякие map,deque и прочее

| Сообщение посчитали полезным:

По первому пункту брать здесь
По второму пункту брать здесь

| Сообщение посчитали полезным: reversecode

reversecode пишет:
может кому то в давние времена удалось поиметь скриптик oop_re.py из bh-dc-07-Sabanal_Yason.pdf
когда то спрашивал, теперь сам себе отвечаю
https://github.com/zynamics/rtti-helper-scripts
http://blog.zynamics.com/2011/01/21/recovering-uml-diagrams-from-binaries-using-rtti-inheritance-as-poset/

| Сообщение посчитали полезным:

как можно в hex-rays задать прототип выдающий 2 результата: cf и dx

сейчас вот так. куда приткнуть dx?
char __usercall sub_405FBC<cf>(char *buf<edi>)

думал как-то так,
char __usercall sub_405FBC<cf>(char *buf<edi>, out __int16<dx>)
но это не работает

UPD. cf - carry flag


это инлайн суб-функция (их там несколько таких) довольно большая, вызывается через call
компилер вроде msvc,
думаю придётся на это забить)

| Сообщение посчитали полезным:

cf dx? такое разве возможно?
может cx ?
пара задается так
__int64 __usercall sub_10000<eax:edx>()

процедура большая?
если сишная то такого быть не может
пары регистров которые указываются в результате обьеденяются в большое число
сразу два значение никакая функция вернуть не сможет
ну разве что по ссылке через аргументы типа (int &, int &)
но вы говорите что для dx это почему то не сработало

inline через call не вызывается
ну кинте если не секретно и не много - сам файлик, глянуть ради интереса

| Сообщение посчитали полезным:

Добрый день!
Тут я попросил помощи в декомпиляции игры Ecstatica 2. При этом пытаюсь разобраться в коде сам. Естественно, что после загрузки проекта IDA дала большинству функций имена вида sub_45DF96, так как настоящих имен вроде как не сохранилось.
Exe откомпилирован на watcom'e, я подгрузил этот exe-шник в open watcom debugger, выбрал пункт code/Functions и получил истинные названия функций, которые им дал разработчик. Там же узнал все имена глобальных переменных.
Как в IDA сделать так, чтобы она увидела эти названия при анализе? И заменила автоматически безликое sub_45DF96 на совершенно корректное UnpackBitmap_

| Сообщение посчитали полезным:

вы уверены что ватком дебугер показал вам истенное название функций игры? а не функций импорта

выложите игруху на rghost

| Сообщение посчитали полезным:

Совершенно уверен, что ватком дебуггер показал истинное название функций игры. С частью функций я разобрался еще до него и дал им имена LoadRaw, LoadAntialisingMap, дебуггер тем же функциям выдал имена LoadRaw_ и LoadAntialias_. Совпадения тут быть не может, понимаю, что мне с именами функций несказанно повезло.
Ссылка на демо игры на rghost.
В архиве
2. Файл e2vista.exe - он спокойно запускается в win7 в отличии от древнего e2win95.exe, поэтому я его и изучаю.
3. Демо версия игры, там многие ресурсы не упакованы в контейнер ecstatic.fan.

Iso-образ диска игры можно найти здесь.

| Сообщение посчитали полезным:

ida не поддерживает такой формат дебага
или ищите можно ли средствами ваткома сдампить эти функции например в map файл
и потом уже в ida применить этот map
либо тяните исходники ваткома и пишите дополнительный плагин для IDA который будет понимать этот формат

| Сообщение посчитали полезным:

Вопрос: как в IDA найти все строки, которые я комментировал?
Во время разбора функции, некоторым командам процессора я дал комментарий (; - по-моему называется repeatable comments). Самой функции я имя не давал, возможно ли вывести в отдельном окне (как это легко делается в Оле) список строк с добавленным комментом, а то я забыл где я комментировал и не могу найти нужную функцию.

| Сообщение посчитали полезным:

то что я знаю это нужно прыгать на начало файла,
нажимаешь Alt+T и вводишь начало комментария ; ну итд

начало любого комментария начинается ТОЧКОЙ С ЗАПЯТОЙ
к томуже изучите внимательно меню Alt+T
вас никто не заставлял вносить не нужные комментарии, делайте в следующий раз бекап базы по заведомо правильным действиям с нею

| Сообщение посчитали полезным:

То есть для поиска коммента я должен помнить сам коммент? Печально.
Кстати, коммент на русском она не находит ни в какую.

| Сообщение посчитали полезным:

reversecode
Понял, формирую map-файл

| Сообщение посчитали полезным:

Kiev78 пишет:
Вопрос: как в IDA найти все строки, которые я комментировал?


5bf1_03.08.2011_EXELAB.rU.tgz - COMMENT VIEWER - 0.2.ZIP

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Добрый день!

Перечитываю этот форум, так как столкнулся с такой же проблемой, как приведена здесь:
--> Link <--.

У меня следующий код:

Hex-Rays доходит до "; ---------------------------------------------------------------------------" и останавливается, результат его работы:
void __cdecl Setup_()
{
NetOption = 0;
DemoOption = 0;
SetupOption = 0;
InstallOption = 0;
FreeAllHeaps_();
InitialiseParts_();
Init_();
}

И в Graph View также эти куски кода представлены отдельными Node'ами.

Как сделать так, чтобы Hex-rays обрабатывал код дальше?

| Сообщение посчитали полезным: