Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Наверное глупый вопрос, но в свете появления исходников HexRaysCodeXplorer появился вопрос: никто не пробовал прикрутить его к ida6.1? Я конечно понимаю что по рукам ходит 6.4 (вроде как), но все же для нищебродов так сказать.

| Сообщение посчитали полезным: Jaa

к сожалению в нём нет ничего полезного,
а так вообще берите sdk и компилируйте

| Сообщение посчитали полезным:

reversecode пишет:
к сожалению в нём нет ничего полезного
А посмотреть хочется все же.
reversecode пишет:
берите sdk и компилируйте
Так вот же, выбивает синтаксическую ошибку и несколько не найденных идентификаторов, в общем плохо когда руки кривые
Вот и спросил, может кто смотрел это дело.

| Сообщение посчитали полезным:

на картинки и pdf посмотрите
так с ошибок и надо начинать, а не с хотелки

| Сообщение посчитали полезным:

reversecode пишет:
так с ошибок и надо начинать, а не с хотелки
Ну в общем по сути проблема только с create_code_viewer и set_code_viewer_lines_icon_margin. Так понимаю это контрол который с версии 6.2 добавили...

| Сообщение посчитали полезным:

переделайте в ui_new_custom_viewer а эти две три закомментируйте, делов то

| Сообщение посчитали полезным: v00doo

Закомментить ума хватило сразу, заменить - нет, пошел курить хелпы, спс.

| Сообщение посчитали полезным:

Как это 6.4 гуляет,я только 6.1 установил,блин ,значит надо обновиться. Хотя с той ещё не разобрался))) лучше подскажите неплохой набор плагинов для 6.1,если не трудно!!!

| Сообщение посчитали полезным:

Очень часто в текст дизассемблированной программы чередуется вставками из данных ( word, dword, array). Cтоит вопрос как определить что это данные, и какого они размера.

| Сообщение посчитали полезным:

искать ссылки на них,и разбирать весь код(структуру) обращения к ним

| Сообщение посчитали полезным:

А если никаких ссылок нет, а имеем код ,например, следующего вида?
ROM_:00003B7C .data.w 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, ROM_:00003B7C .data.w 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, ROM_:00003B7C .data.w 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF, 0xFFFFFFFF,

| Сообщение посчитали полезным:

очевидно что это не код, и вы не правильно разбираете прошивку если считаете что по каким то местам должен быть код, либо код там появляется после ее исполнения

| Сообщение посчитали полезным:

Обычно FF везде, когда не удалось считать прошивку. FF ещё может быть в местах, где не зашивали ничего

-----
IZ.RU

| Сообщение посчитали полезным:

FF написано для простоты написания, а там могут быть любые данные

| Сообщение посчитали полезным:

нажать буку 'С' что бы перевести в код
либо к гадалкам

| Сообщение посчитали полезным:

нажать буку 'С' это конечно совет , меня интересует как программно найти такие куски, а не шерстить вручную весь файл.

| Сообщение посчитали полезным:

fermopili пишет:
Cтоит вопрос как определить что это данные, и какого они размера.
http://lib.rus.ec/b/94674
стр. 200

-----
IZ.RU

| Сообщение посчитали полезным:

проблема с АРМ, "Position independence" или что-то типа того.
есть два эльфа, с андроида и айфона. На андроиде все нормально, такой код легко вычисляется:

.text:000C0606 ! LDR R2, =(aSystem_message - 0xC0610)
.text:000C0608 ADD R0, SP, #0x50+var_24 ; --- не важно
.text:000C060A MOVS R1, R4 ; --- не важно
.text:000C060C ! ADD R2, PC ; "system_message.dat"

а на iOS - фиг вам:

__text:0000233E ! MOV R2, 0xA58C0
__text:00002346 ADD R1, PC ; --- не важно
__text:00002348 ! ADD R2, PC

это случайные места в коде. но они показывают суть проблемы.
Как-то можно заставить иду (6.1) вычислять правильные ссылки?
https://dl.dropboxusercontent.com/u/42445347/ff5_ida.zip - тестовые файлы

| Сообщение посчитали полезным:

[wl] пишет:
Как-то можно заставить иду (6.1) вычислять правильные ссылки?
может быть...
Но я так и не нашёл ничего подобного и свой инструмент под x86 писал, чтоб имена всех классов и методов с их адресами вытащить. Разобраться в мачо пришлось. В приват могу дать. Она не ахти, конечно. Но управление простое, помогает в навигации по коду

-----
IZ.RU

| Сообщение посчитали полезным:

[wl] пишет:
а на iOS - фиг вам:
На версиях иды постарше есть парсинг ObejctC и норм считаются смещения


| Сообщение посчитали полезным: [wl]

ida64 demo arm поддержка есть, попробуй с ней

| Сообщение посчитали полезным: [wl]

Последняя сломанная версия декомпилятора hex rays 1.5 ? или есть новее ? (hex rays в новых версиях научился структуры восстанавливать?)

Проверял EXEtoC , очень кривое но структуры кажется восстанавливает.

| Сообщение посчитали полезным:

стуктуры ручками всегда восстанавливаются
что вы подразумеваете под "научился восстанавливать" непонятно

всякие разные извращения можно испытать с плагинами с конквеста от хексрея

| Сообщение посчитали полезным:

reversecode пишет:
стуктуры ручками всегда восстанавливаются
не ручками, а моском

Что он имел в виду, я думаю - чудо в недалёком будущем. Да, да, будучи образованным и имевши свои разработки по этой части, верю, что скор тот день

-----
IZ.RU

| Сообщение посчитали полезным:

вроде рейс 1.5 умеет создавать структуры по указателю
+ всякие плагины с конквеста + есетовские каубои чет там пилили

но лучше всего структуры ручками восстанавливать

| Сообщение посчитали полезным:

Ну там X+4 , +8 , ... + 96 , руками долго и там в hex-rays ничего кроме _DWORD и _DWORD * нет ) А где такие плагины найти для hex-rays которые могут структуру восстановить?

| Сообщение посчитали полезным:

конечно если языком восстанавливать то рейс ничего не умеет
а если для начала посмотреть на интерфейс а еще лучше поклацать то можно найти пункт меню в рейсе 'Create new struct type'
не флудить и полистать оффициальный сайт хекс рея кой можно найти в гугле если тяжело логическим мышлением, то можно и плагины всякие найти
дерзайте

| Сообщение посчитали полезным: kid

reversecode
Однозначно ручками , ибо всякие плуги еще и обзовут структуру так что потом не поймешь что это и куда это.

У меня вот вопрос к знатокам :
Допустим по коду в какой то из регистров ложится указатель на структуру , далее вся адресация по оффсету от указателя аля [ebx+14] , если руками тыкнуть букафку "Т" - то можно указать на нужную структурку , так вот вопрос : можно ли как то на букафку "Т" тыкнуть один раз , дабы ида дальше сама обозвала все смещения названиями из структуры ?

| Сообщение посчитали полезным: reverser

чет думается нельзя, это же нужно оттрекать какие где смещения, а то можно по одним и тем же смещениям но с другими данными, заменить не то

| Сообщение посчитали полезным:

блин ... но трэйсит же она переменные в стеке , задача вроде такая же

| Сообщение посчитали полезным: