Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Кто нибудь сталкивался с плагином который позволяет подсвечивать инструкции которые уже были пройдены отладчиком, чтобы визуально удобно ориентироваться было на возможность покрытия кода?! и второй вопрос - SDK IDA позволяет включать функционал регулярных выражений ?! а то либо не внимательно смотрел, либо нужно корячиться! т.к. возникла необходимость написать трассировочный плагин под IDA

| Сообщение посчитали полезным:

sats, есть один не плохой опенсорсный трейсер process_stalker, юзается в виде плагина для иды.

| Сообщение посчитали полезным:

вчера смотрел как раз его....но IDA , что то скушать корректно его не хочет. сегодня на работе проверю

| Сообщение посчитали полезным:

sats
Olden plugin

-----
DREAMS CALL US

| Сообщение посчитали полезным:

нашел еще одно интересное решение http://www.hexblog.com/?p=34 . сейчас то ли туплю то ли спать нужно. не могу на VS2010 поставить IDA Pro plugin wizard for Visual Studio 2010 (https://github.com/htk59/IDA-Pro-plugin-wizard ) пишет что не может создать проект (windiws 7). понимаю что ручками можно все настроить - но так как часто меняются машины хотелось бы разобраться с этим! есть гуру которые могут понять что VS хочет еще?!
Как получить значение операнда в asm инструкции при отладке, если операнд представляет собой - базовый регистр + индексный (+ смещение)?! GetRegValue и GetOperandValue(как понял работает только с типом im) не помогают!

| Сообщение посчитали полезным:

у меня такой вопрос возник, вот у меня есть приложение, его я нормально отлаживал когда у меня был 1-о ядерный процессор. Поставил 2-х ядерник( винду не меняя), и при отладке того же приложения я висну просто напросто... Есть определнный момент, когда даже IDA не отвечает.
система как была 32 бита так и осталась. Запускаю естественно IDA 32

ps не хотелось бы переходить обратно в олю, ибо в ида намного приятнее

| Сообщение посчитали полезным:

Dart Sergius
процентов 90, что дело не в ida. делал такую же замену с AMD когда-то, никаких проблем

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax, значит желательно поменять всё таки винду? или запускать в однопроцессорном режиме, так я понимаю?

а понял, там юзаеться SetThreadAffinityMask, что каким то образом глушит нам отладку...

OMG там же SetUnhandledExceptionFilter

| Сообщение посчитали полезным:

так, у меня снова проблема, IDA Stealth я поставил, больше не летает.
Но у меня перестал реконструироваться стек(если в 5,2 у меня параметры разбирались, строки показывались, тот тут так не делает*( версия 5,5))
В настройках дебугера стоит реконструкция стека.

| Сообщение посчитали полезным:

Dart Sergius
ида поновее как себя ведет?

| Сообщение посчитали полезным:

поставил 6,1, также, адрес лишь слегка расшифровываеться(приписывает название модуля куда указывает адрес из стека, но например если там строка, он её не покажет:s4

| Сообщение посчитали полезным:

может быть 6.1 и не стоит мучать ? 5.6. самая адекватная в плане поведения ее самой, и плагинов в частотности. конкретная проблема какая?

| Сообщение посчитали полезным:

полностью не реконструирует стек.
Если в 5,2 расшифровывало не только
002B2018 .rdata:aDetectedCpuSSF
а 002B2018 .rdata:aDetectedCpuSSF "Detected CPU:%s [%s], F%d/M%d/S%d, %.2f mhz,%d-clk 'rdtsc'..-x86"
ну и типо того...

| Сообщение посчитали полезным:

стой что не реконструирует стек?! ты в режиме отладки делаешь остановку на интересующей позиции?!

| Сообщение посчитали полезным:

да, ставлю бряк на начало функции, и при остановке он не расшифровывает аргументы.

| Сообщение посчитали полезным:

вроде какая то тулза для IDA

pinStalk is a tool for analyzing the execution procedure of an executable. It uses Dynamic Binary Instrumentation to trace the program behavior. Using this technology, it can see and analyze each instruction before execution, so one can analyze the program’s behavior in basic-block and instruction levels. pinStalk uses Pintool (from Intel) and IDA Pro to do its job. You can compile and use it on Windows, Linux and Mac (on 32 and 64 bit architectures).

http://www.irhoneynet.org/?p=75

| Сообщение посчитали полезным:

Привет всем.
Пишу скрипт для сохранения сегментов АРМ Эльфа, Количество загружаемоего кода в сегмент иногда меньше самого размера сегмента и надо сохранить бинарник от LOAD:00000000 до LOAD:002ACFFC включительно.

Ида подписывает адреса без данных через "%1 / %2 / %4". Как в скрипте идентифицировать их ? Потому как BADADDR это -1 и простым Dword(0x002AD000) == BADADDR тикие "проценты" не отследить.



| Сообщение посчитали полезным:

kp0m а не пробовал выводить в лог, что по этому адресу видит ида?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: kp0m

kp0m пишет:
Как в скрипте идентифицировать их ?
Проверить существует ли адрес. т.е. есть ли у него флажки (GetFlags(ea) != 0)

Например:



| Сообщение посчитали полезным: kp0m

PE_Kill

По-ходу как BADADDR, но это не решает проблему, потому как любой -1 в нормальных данных тоже сработает (


vden

Вроде должно работать, спасибо !)

| Сообщение посчитали полезным:

Добрый день!
В этом сообщении Usulgurt спрашивает про отличие соглашений о вызовах стандартного fastcall и его же в watcom'е.
Столкнулся с тем же самым, параметры передаются через eax, edx, ebx, ecx.
Как это объяснить IDA?
CLOSED

| Сообщение посчитали полезным:

так тоже уже обсуждалось
сам же Usulgurt закрыл свой вопрос

| Сообщение посчитали полезным:

Подскажите как ксорить в IDA. Не могу найти такую функцию. И как узнать, что какое-то значение (текст) заксорено?

| Сообщение посчитали полезным:

Rulezzz пишет:
Подскажите как ксорить в IDA

Нужно писать скрипт.

auto ea, i, key;
ea=XXX;
key=YYY;
for(i=0; i<len; i=i+1)
PatchByte(ea+i, Byte(ea+i)^key);

Rulezzz пишет:
И как узнать, что какое-то значение (текст) заксорено?

if(Byte(ea) != GetOriginalByte(ea))
Message("Byte xored!");

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

ILFAK WISH YOU MERRY CHRISTMAS AND HAPPY NEW YEAR

| Сообщение посчитали полезным: Dart Sergius, _ruzmaz_

и не в падлу же кому-то было маяться

| Сообщение посчитали полезным:

PEGod пишет:
ILFAK WISH YOU MERRY CHRISTMAS AND HAPPY NEW YEAR
> >

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Бляяяяяяяяяя! Коменты к файлу - отжыг

-----
SaNX

| Сообщение посчитали полезным: Dart Sergius

Ну вы поняли, с чем заканчивать.

| Сообщение посчитали полезным:

Добрый день! стала задача снятия трассы удаленно с использованием IDA по GDB, встроенные механизмы в IDA очень тупят для этого дела, может кто сталкивался с проблемой адекватности ведения трасы?! скрипты или плагины для IDA могут ускорить данный процес?!

| Сообщение посчитали полезным: