Использование IDA Pro

Сейчас на форуме: -Sanchez- (+8 невидимых)

<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 50 . 51 . >>

Посл.ответ	Сообщение
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 08 августа 2008 18:53 · Личное сообщение · #1 Здесь предлагаю обмениваться опытом использования, настройки этой тулзы. Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? ) ----- My love is very cool girl.

sats Ранг: 117.5 (ветеран), 5thx Активность: 0.08↘0.01 Статус: Участник	Создано: 01 декабря 2011 10:58 · Личное сообщение · #2 Кто нибудь сталкивался с плагином который позволяет подсвечивать инструкции которые уже были пройдены отладчиком, чтобы визуально удобно ориентироваться было на возможность покрытия кода?! и второй вопрос - SDK IDA позволяет включать функционал регулярных выражений ?! а то либо не внимательно смотрел, либо нужно корячиться! т.к. возникла необходимость написать трассировочный плагин под IDA
Oott Ранг: 106.9 (ветеран), 27thx Активность: 0.08↘0 Статус: Участник	Создано: 01 декабря 2011 11:38 · Личное сообщение · #3 sats, есть один не плохой опенсорсный трейсер process_stalker, юзается в виде плагина для иды.
sats Ранг: 117.5 (ветеран), 5thx Активность: 0.08↘0.01 Статус: Участник	Создано: 01 декабря 2011 12:21 · Личное сообщение · #4 вчера смотрел как раз его....но IDA , что то скушать корректно его не хочет. сегодня на работе проверю
=TS= Ранг: 251.8 (наставник), 17thx Активность: 0.12↘0 Статус: Участник Seeker	Создано: 01 декабря 2011 23:21 · Поправил: =TS= · Личное сообщение · #5 sats Olden plugin ----- DREAMS CALL US
sats Ранг: 117.5 (ветеран), 5thx Активность: 0.08↘0.01 Статус: Участник	Создано: 03 декабря 2011 03:02 · Поправил: sats · Личное сообщение · #6 нашел еще одно интересное решение http://www.hexblog.com/?p=34 . сейчас то ли туплю то ли спать нужно. не могу на VS2010 поставить IDA Pro plugin wizard for Visual Studio 2010 (https://github.com/htk59/IDA-Pro-plugin-wizard ) пишет что не может создать проект (windiws 7). понимаю что ручками можно все настроить - но так как часто меняются машины хотелось бы разобраться с этим! есть гуру которые могут понять что VS хочет еще?! Как получить значение операнда в asm инструкции при отладке, если операнд представляет собой - базовый регистр + индексный (+ смещение)?! GetRegValue и GetOperandValue(как понял работает только с типом im) не помогают!
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 09 декабря 2011 20:26 · Поправил: Dart Sergius · Личное сообщение · #7 у меня такой вопрос возник, вот у меня есть приложение, его я нормально отлаживал когда у меня был 1-о ядерный процессор. Поставил 2-х ядерник( винду не меняя), и при отладке того же приложения я висну просто напросто... Есть определнный момент, когда даже IDA не отвечает. система как была 32 бита так и осталась. Запускаю естественно IDA 32 ps не хотелось бы переходить обратно в олю, ибо в ида намного приятнее
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 09 декабря 2011 20:37 · Личное сообщение · #8 Dart Sergius процентов 90, что дело не в ida. делал такую же замену с AMD когда-то, никаких проблем ----- От многой мудрости много скорби, и умножающий знание умножает печаль
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 09 декабря 2011 21:53 · Поправил: Dart Sergius · Личное сообщение · #9 ajax, значит желательно поменять всё таки винду? или запускать в однопроцессорном режиме, так я понимаю? а понял, там юзаеться SetThreadAffinityMask, что каким то образом глушит нам отладку... OMG там же SetUnhandledExceptionFilter
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 11 декабря 2011 16:14 · Личное сообщение · #10 так, у меня снова проблема, IDA Stealth я поставил, больше не летает. Но у меня перестал реконструироваться стек(если в 5,2 у меня параметры разбирались, строки показывались, тот тут так не делает*( версия 5,5)) В настройках дебугера стоит реконструкция стека.
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 11 декабря 2011 21:13 · Личное сообщение · #11 Dart Sergius ида поновее как себя ведет?
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 11 декабря 2011 22:52 · Личное сообщение · #12 поставил 6,1, также, адрес лишь слегка расшифровываеться(приписывает название модуля куда указывает адрес из стека, но например если там строка, он её не покажет:s4
sats Ранг: 117.5 (ветеран), 5thx Активность: 0.08↘0.01 Статус: Участник	Создано: 11 декабря 2011 23:02 · Личное сообщение · #13 может быть 6.1 и не стоит мучать ? 5.6. самая адекватная в плане поведения ее самой, и плагинов в частотности. конкретная проблема какая?
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 11 декабря 2011 23:40 · Поправил: Dart Sergius · Личное сообщение · #14 полностью не реконструирует стек. Если в 5,2 расшифровывало не только 002B2018 .rdata:aDetectedCpuSSF а 002B2018 .rdata:aDetectedCpuSSF "Detected CPU:%s [%s], F%d/M%d/S%d, %.2f mhz,%d-clk 'rdtsc'..-x86" ну и типо того...
sats Ранг: 117.5 (ветеран), 5thx Активность: 0.08↘0.01 Статус: Участник	Создано: 11 декабря 2011 23:51 · Личное сообщение · #15 стой что не реконструирует стек?! ты в режиме отладки делаешь остановку на интересующей позиции?!
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 12 декабря 2011 00:01 · Личное сообщение · #16 да, ставлю бряк на начало функции, и при остановке он не расшифровывает аргументы.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 20 декабря 2011 10:45 · Личное сообщение · #17 вроде какая то тулза для IDA pinStalk is a tool for analyzing the execution procedure of an executable. It uses Dynamic Binary Instrumentation to trace the program behavior. Using this technology, it can see and analyze each instruction before execution, so one can analyze the program’s behavior in basic-block and instruction levels. pinStalk uses Pintool (from Intel) and IDA Pro to do its job. You can compile and use it on Windows, Linux and Mac (on 32 and 64 bit architectures). http://www.irhoneynet.org/?p=75
kp0m Ранг: 26.1 (посетитель), 10thx Активность: 0.01=0.01 Статус: Участник	Создано: 21 декабря 2011 15:22 · Личное сообщение · #18 Привет всем. Пишу скрипт для сохранения сегментов АРМ Эльфа, Количество загружаемоего кода в сегмент иногда меньше самого размера сегмента и надо сохранить бинарник от LOAD:00000000 до LOAD:002ACFFC включительно. Ида подписывает адреса без данных через "%1 / %2 / %4". Как в скрипте идентифицировать их ? Потому как BADADDR это -1 и простым Dword(0x002AD000) == BADADDR тикие "проценты" не отследить. Code: LOAD:00000000 DCD 0x01020304 -------------------------------------------------------- LOAD:002ACFF4 DCD 0xA0B0C05 LOAD:002ACFF8 DCD 0xE0F1009 LOAD:002ACFFC DCD 0xD LOAD:002AD000 % 4 LOAD:002AD004 % 4
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 21 декабря 2011 16:15 · Личное сообщение · #19 kp0m а не пробовал выводить в лог, что по этому адресу видит ида? ----- Yann Tiersen best and do not fuck \| Сообщение посчитали полезным: kp0m
vden Ранг: 112.9 (ветеран), 186thx Активность: 0.09↘0.01 Статус: Участник	Создано: 21 декабря 2011 16:55 · Поправил: vden · Личное сообщение · #20 kp0m пишет: Как в скрипте идентифицировать их ? Проверить существует ли адрес. т.е. есть ли у него флажки (GetFlags(ea) != 0) Например: \| Сообщение посчитали полезным: kp0m
kp0m Ранг: 26.1 (посетитель), 10thx Активность: 0.01=0.01 Статус: Участник	Создано: 21 декабря 2011 16:56 · Поправил: kp0m · Личное сообщение · #21 PE_Kill Code: IDC>Message("%08X\n", Dword(0x002ACFFC)); 0000000D IDC>Message("%08X\n", Dword(0x002AD000)); FFFFFFFF По-ходу как BADADDR, но это не решает проблему, потому как любой -1 в нормальных данных тоже сработает ( vden Code: IDC>Message("%08X\n", GetFlags(0x002ACFFC)); 2010050D IDC>Message("%08X\n", GetFlags(0x002AD000)); 00000000 Вроде должно работать, спасибо !)
terar Ранг: 6.2 (гость) Активность: 0=0 Статус: Участник	Создано: 01 января 2012 21:11 · Поправил: terar · Личное сообщение · #22 Добрый день! В этом сообщении Usulgurt спрашивает про отличие соглашений о вызовах стандартного fastcall и его же в watcom'е. Столкнулся с тем же самым, параметры передаются через eax, edx, ebx, ecx. Как это объяснить IDA? CLOSED
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 01 января 2012 22:59 · Личное сообщение · #23 так тоже уже обсуждалось сам же Usulgurt закрыл свой вопрос
Rulezzz Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 03 января 2012 12:32 · Личное сообщение · #24 Подскажите как ксорить в IDA. Не могу найти такую функцию. И как узнать, что какое-то значение (текст) заксорено?
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 03 января 2012 13:16 · Личное сообщение · #25 Rulezzz пишет: Подскажите как ксорить в IDA Нужно писать скрипт. auto ea, i, key; ea=XXX; key=YYY; for(i=0; i<len; i=i+1) PatchByte(ea+i, Byte(ea+i)^key); Rulezzz пишет: И как узнать, что какое-то значение (текст) заксорено? if(Byte(ea) != GetOriginalByte(ea)) Message("Byte xored!"); ----- 127.0.0.1, sweet 127.0.0.1
PEGod Ранг: 2.9 (гость), 2thx Активность: 0=0 Статус: Участник	Создано: 08 января 2012 13:05 · Личное сообщение · #26 ILFAK WISH YOU MERRY CHRISTMAS AND HAPPY NEW YEAR \| Сообщение посчитали полезным: Dart Sergius, _ruzmaz_
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 09 января 2012 04:11 · Личное сообщение · #27 и не в падлу же кому-то было маяться
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 09 января 2012 05:52 · Личное сообщение · #28 PEGod пишет: ILFAK WISH YOU MERRY CHRISTMAS AND HAPPY NEW YEAR > > ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
SaNX Ранг: 456.3 (мудрец), 340thx Активность: 0.28↘0.02 Статус: Участник Android Reverser	Создано: 09 января 2012 09:59 · Личное сообщение · #29 Бляяяяяяяяяя! Коменты к файлу - отжыг Code: GPcH 08 января 2012, 12:59 Угар посоны, хочу и про дерматолога такое. dermatolog 08 января 2012, 13:00 Иди нах, пидр, бля. dermatolog 08 января 2012, 13:01 Покупайте VMProtect. Archer 08 января 2012, 13:02 dermatolog не создавай сообщения подряд. Используй кнопку Правка. А вообще заканчиваем с оффтопом. Enigma 08 января 2012, 13:03 Не покупайте VMProtect это говно. Покупайте Enigma Protector. GPcH 08 января 2012, 13:03 +1 PE_KILL 08 января 2012, 13:09 Да я все ваши протекторы на DrWeb Fly-Unpackere вертел. ----- SaNX \| Сообщение посчитали полезным: Dart Sergius
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 09 января 2012 10:41 · Личное сообщение · #30 Ну вы поняли, с чем заканчивать.
sats Ранг: 117.5 (ветеран), 5thx Активность: 0.08↘0.01 Статус: Участник	Создано: 26 января 2012 15:28 · Личное сообщение · #31 Добрый день! стала задача снятия трассы удаленно с использованием IDA по GDB, встроенные механизмы в IDA очень тупят для этого дела, может кто сталкивался с проблемой адекватности ведения трасы?! скрипты или плагины для IDA могут ускорить данный процес?!

<< 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 50 . 51 . >>

Для печати