Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

это что то с правами на папки или на сам файл который открываете
либо пользователь под которым запускается ида мало правный))
то что файл можно открыть на своем рабочем столе - это подтверждает

| Сообщение посчитали полезным:

Администратор в домене на КД малоправный? Возможно в 8-ке действительно какие-то примудрости с правами.

| Сообщение посчитали полезным:

а что? запросто) у меня фулл админ на хп не мог добратся до папок с другого диска(взятого с другого ПК), пока права вручную не переставишь

попробуй поигратся с этим файлом, бросая его по разным папкам(дискам) и поймешь где ограничения

| Сообщение посчитали полезным:

В общем в 8ке когда открываешь в программе (не только IDA) папку System32 автоматом перенаправляешься в SysWOW64. Для меня это оказалось неожиданностью.

| Сообщение посчитали полезным:

8 тут не при чём, это обычный редирект для 32-битных приложений на всех 64-битных виндах.

| Сообщение посчитали полезным:

Не завалялся ли у кого ida.lib для IDA Free 5.0? Желательно под VC. Нужно для сбора плагинов под указанную версию.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

под free сдк несуществует
а под 5.0 879 --> Link <--

| Сообщение посчитали полезным:

reversecode пишет:
под free сдк несуществует
Правильно. Ипользуется от стандарта + специальный ida.lib, о котором я и спросил.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

и который я запаблишил

| Сообщение посчитали полезным: artyavmu

Ок, спасибо, поиграюсь.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Прошу у всех прощения

и помощи.
ИДА распознает замангленные имена в ids / idt?

dll экспортирует имя замангленное, соотв в idt оно вида 1=?MyAssert@@YAXPBD0H@Z
в h пишу что
extern void (__cdecl* MyAssert)(const char*, const char*, int);
что
void __cdecl MyAssert(const char*, const char*, int);
tilib ... а
один фиг - не подхватывается и не распознается.
Подскажите что я делаю не так.

| Сообщение посчитали полезным:

три раза перечитал, один раз задом наперед, все равно ничего не понял
можно более понятнее обьяснить что вы там хотите сделать ?

| Сообщение посчитали полезным:

начну с того что я хочу.
Хочу, чтобы ида распознавала возвращаемое значение, соглашение вызова, типы аргументов у функции из ипортируемой библиотеки.
Как это делается например с стандартными win32api (ипморт из Kernel32.dll и т.п.)

Что я для этого сделал.
Скормил собранную (импортируемую) длл dll2idt, затем zipids

Потом набросал h файл - c описанием функции (выше)
его скормил tilib
ids и til положил в соотв. каталоги.

Открываю в иде файл, а функция, не смотря на наличие тайплибы и сигнатупы не распознается.
точнее у нее коментарием-то написано (взялось с замангленного имени) а вот тип - увы

--
Вот я и думаю, может дело все в том, что имя в экспорте/импорте замангленое - ?MyAssert@@YAXPBD0H@Z

| Сообщение посчитали полезным:

также пробовал разнообразный изврат с ключами tilib (-D, -G) - безрезультатно

| Сообщение посчитали полезным:

это вы все на автомате? а если вручную подгрузить этот til ? Shift+F11

можете оставить свои файлы? ато лень придумывать примеры что бы поиграться-повторить

| Сообщение посчитали полезным:

awlost
Насколько я понимаю, в .idt строится соответствие ординал - прототип.


Отображение имён в листинге через "Options"-"Demangled Names" - "Names"
По умолчанию "Comments", для себя выставляю в "Names".
Точное соответствие типа часто отсутствует, в мангленном имени вместо указателя на какую-то структуру указывается void указатель или вообще просто dword.

В .til помещается информация о сложных типах (структуры и перечисления).

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Нередко бывает такое, что ячейка памяти на стеке используется для двух разных переменных. Например:



Компилятор может увидеть, что к моменту когда нужно вычислить y x уже не нужен, и разместить это в той же ячейке, где раньше был x.
Внимание вопрос: Можно в Иде как-то разделить время жизни одной ячейки и присвоить ей разные имена в разных блоках внутри одной функции?

| Сообщение посчитали полезным:

никак

если в ячейке надо хранить разные указатели на разные структуры
то в новом рейсе можно определить их как юнион, и потом выбрать для отображения в самом рейсе

некоторые преалок переменных до присвоение улучшена в новом рейсе
он иногда такие ситуации определяет и создает новую переменную

но в целом как я уже сказал, никак

| Сообщение посчитали полезным:

Можно через ПКМ-Manual, но на хексрей это не повлияет. Просто будет удобно подсвечивать при выделении в дизассемблере

| Сообщение посчитали полезным:

Может кто-то прикручивал рейс от публичной 6.1 к демке 6.5?
Проверку естественно:
0008DFFD:
752E -> 7500
0008E008:
7523 -> 7500
0008E013:
7518 -> 7500
Но в 6.4 нормально подхватывается и работает, а в 6.5 крашится при попытке анализа вместе с идой.

| Сообщение посчитали полезным:

не будет он работать
ильфак там все переделал
с офф сайта

The biggest news are internal: now the decompiler uses a new type system. This change was overdue since quite long time: the old system was too limited and lacking expressive power. It was also difficult to use. Since the decompiler heavily relies on type information and we switched to the new type system, it can not be used with older versions of IDA anymore: decompiler v1.9 requires IDA v6.5
tinfo теперь вместо type_t
вроде айпи он и оставил, но без поддержки
если и можно завести рейс, то скорее всего в обрезаном качестве

| Сообщение посчитали полезным: v00doo

приатачился к процессу x64 идой, проанализировал модуль отладил все гууд, сохранил базу. перезагрузился, открыл базу пытаюсь приатачиться к процессу, ида ругается на pointer size is 8 а нужен ей 4 (как-то так), что не так?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ну это проблема в 6.1 была вроде
в настройках Compiler Options в каком то из типов поправь где 8 на 4

| Сообщение посчитали полезным:

reversecode у меня не 6.1, странно. оке попробую, а то загуглить не получилось.

p.s. в догонку есть у кого IDA_Signsrch 1.3?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
в догонку есть у кого IDA_Signsrch 1.3?
--> Link <-- 1.03

| Сообщение посчитали полезным: Hellspawn

1.03 --> Link <--
с исходниками всех утил

| Сообщение посчитали полезным: Hellspawn

Проблема с открытием файла размером 40 мб, 32 битный, ELF.
Версия 6.1. У кого такое было и как с этим бороться?

| Сообщение посчитали полезным:

неинформативно
но проблем там нет, делайте то что там говорят

если есть сомнения, проверяйте на последней IDA демке

| Сообщение посчитали полезным:

Взял demo для linux и проблема решилась.
Теперь стоит задача открыть файл размером 277 MB в 64 bit ida 6.1.
Выдает эти сообщения:
foto_1
foto_2
И благополучно закрывается.
Все же есть ограничение размер файла?

| Сообщение посчитали полезным:

gemuz пишет:
Взял demo для linux и проблема решилась.
да точно, ильфак переделал ограничения, в новых версиях вообще его убрал

gemuz пишет:
Все же есть ограничение размер файла?
нет,
почему не хотите нажать F1 help ? для того что бы прочитать что надо сделать
нужно увеличить VPAGESIZE

| Сообщение посчитали полезным: