Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Помогло, но увеличил еще и NPAGESIZE. Стало NPAGESIZE = VPAGESIZE = 32768, иначе выдавало ошибку.
Осталось только ждать Спасибо.

| Сообщение посчитали полезным:

в ida.cfg все расписано, и формула как оно там чего увеличивает
NPAGESIZE я никогда не трогал, думаю смысла нет

| Сообщение посчитали полезным:

Товарищи, не подскажете, где взять исходники и как собрать сервера для отладки, т.е. armlinux_server + linux_server?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

под арм никак не собирается, он в комплекте идет, под обычный x86 линукс в комплекте и соурсы из idasdk

| Сообщение посчитали полезным:

reversecode
А реально ли перепилить под арм тот, что под обычный линукс?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

зачем перепиливать? в комплекте иды 6.1 и той что раздают на борде уже есть armlinux_server

| Сообщение посчитали полезным:

Та есть-то он есть, да только мне бы его хотелось собрать статически слинкованным. Динамически слинкованный хочет от меня библиотек. А их нет.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

доставляй либы той версии которой хочет сервер
новая ида тебе тоже не поможет, там все так же собрано

либо напиши ильфаку баг репорт))

| Сообщение посчитали полезным:

reversecode пишет:
в ida.cfg все расписано, и формула как оно там чего увеличивает
NPAGESIZE я никогда не трогал, думаю смысла нет

Выставил одна на 32к, второй на 16к, т.к. вылетали ошибки... потом пришлось сменить машину, ибо 8 гб ОЗУ не хватало, переехал на 32 Гб.... все еще идет анализ...

| Сообщение посчитали полезным:

--> Link <-- MIPS to C decompiler plugin for ida 6.5 or above

| Сообщение посчитали полезным:

как-то незамеченной прошла новость о выходе 6.6 с x64 декомпилем

| Сообщение посчитали полезным:

dant3 пишет:
как-то незамеченной прошла новость о выходе 6.6 с x64 декомпилем
Думаю кому нада, тот заметил
Оффтоп

Дайте мне пирожок

| Сообщение посчитали полезным:

Столкнулся с не понятной для меня проблемой, ни как не могу разобраться. Отлаживаю софт по удалёнке через linux_server. Прога становится на EP, делаю несколько шагов, дохожу до " __libc_start_main", F8 и код как-то съезжает на более высокие адреса. Тоесть, к примеру функция start:


А вот уже покароженный вариант:


Что за хрень?

-----
Research For Food

| Сообщение посчитали полезным:

если прога сама себя не модифицирует в секции .ctors
то значит баг, пиши ильфаку

| Сообщение посчитали полезным: daFix

По-видимому, это 2 разных процесса (образы скомпилены одним компилятором, один процесс породил другой), только дочерний в контексте старого. Такие чудеса бывают на линуксе, сам был удивлён... Не помню точно, по-моему надо ловить SIGCHLD вследствие вызова одной из --> функций <--

-----
IZ.RU

| Сообщение посчитали полезным: daFix

системно линукс такое не учудит иначе все завалится
ида в любом случае чет начудила

если до main еще не дошло, то до main вызываются статические конструкторы, значит там какая то инициализация которая все портит
надо ставить бряк на инициализацию статических конструкторов и по шагово смотреть какой из них после выполнения что портит

| Сообщение посчитали полезным:

DenCoder
Да не, бинарь там только один. Я плохо разбираюсь в линухах, тем более в их системной части, поэтому вообще не понимаю как код
вообще может так раскидать, когда он уже спроецирован в память и проинициализирован.

reversecode пишет:
если до main еще не дошло
Как я понимаю, EP != main?

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Как я понимаю, EP != main?
Так же, как и в Windows, до main() отрабатывает crt, инициализация переменных, вызов конструкторов классов, если прога на си

-----
IZ.RU

| Сообщение посчитали полезным:

reversecode
Функция инициализации деструкторов пустая, а в инициализации конструкторов код есть, но после выполнения колла код всё ещё не релоцированный

-----
Research For Food

| Сообщение посчитали полезным:

код реалоцируется когда уже в main оказываешься?
а после выхода из конструкторов все еще не реалоцирован ?
странно конечно...

реалоцируется вообще весь бинарь?

| Сообщение посчитали полезным:

Блин, парни, я тупил не много. Сейчас накопал один момент... Код из main -

Запускается ещё один бинарь, который лежит в подпапке и в параметре командной строки передаётся путь к текущему бинарю. Тоесть, наверное сразу срабатывает деструктор.
Но один момент - получается что я начинаю отлаживать уже новый бинарь, который загрузился в адресное пространство запускающего процесса при запуске через _execv?

Сейчас склоняюсь к тому что Ден был прав...
DenCoder пишет:
По-видимому, это 2 разных процесса (образы скомпилены одним компилятором, один процесс породил другой), только дочерний в контексте старого. Такие чудеса бывают на линуксе, сам был удивлён... Не помню точно, по-моему надо ловить SIGCHLD вследствие вызова одной из --> функций <--


-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Но один момент - получается что я начинаю отлаживать уже новый бинарь, который загрузился в адресное пространство запускающего процесса при запуске через _execv?
Да, есть в линуксе такое чудо. По выходу из такого "дочернего процесса" с тем же ид управление в "родитель" не передаётся, поскольку его образ фактически разрушен. (Привычные нам понятия здесь в кавычках, поскольку считаю, что здесь не совсем они верны)

-----
IZ.RU

| Сообщение посчитали полезным: daFix

что значит разрушен? execv может плодить процессы при этом родитель может делать свою работу
здесь или тонкость работы с идой, может опция какая "не бегать за потомками", или как то предупреждать об этом
либо глюк иды
да, пардон execv заменяет, это перед ним fork делают что бы все продолжало работать

| Сообщение посчитали полезным:

DenCoder, reversecode работает! Спасибо, выручили

-----
Research For Food

| Сообщение посчитали полезным:

как продизасмить файл для процессора 80188/80186 16 bit? В списке поддерживаемых архитектур не вижу такого (даже для Pro версии). Если открывать файл для дефолтной x86 metapc, конечно же, показывает бред.

| Сообщение посчитали полезным:

а формат у этой программы какой? екзе? 16 ида дизасмить умеет
жертву приаттачте что ль

| Сообщение посчитали полезным:

litecoiner пишет:
как продизасмить файл для процессора 80188/80186 16 bit?

--> Link <--

-----
IZ.RU

| Сообщение посчитали полезным:

Уважаемые гуру скиптов и плагинов, подскажите вот что.

Когда у функции есть (указан) тип, т.е. задан в виде
то автоанализ, встречая вызов такой функции, помечает ее аргументы на стеке в виде коментариев:



Вопрос вот в чем: можно ли в каком либо виде получить значения и/или тип аргументов (регистр, переменная стека, константа, етк)
стоя в данном случае на 13028F83

в idc вроде как нельзя, нет такого функционала, а вот в SDK мож есть, да не туда гляжу?
Можно конечно пробежать вверх с помощью Comment(PrevHead(..)), сравнивая прототип ф-ии и какой аргумент кладется, но как-то это некузяво и не надежно.
какая-нибудь структура, вида:
кол-во аругементов = 3.
Аргумент0 кладентся на стек по адресу 13028F82,
1 по адресу 13028F80
и тп

PS Можно даже не читать каменты, а анализировать изменение стека самостоятельно (что и когда кладется перед вызовом), но это уже какой-то трассировщик получится. А он ведь есть в самой иде, вопрос как до него добраться

| Сообщение посчитали полезным:

а смысл ?
ну вот есть что то на питоне
https://github.com/deresz/funcap
вообще разные всякие трейсеры есть в гугле, но я ими не пользуюсь
если корректно спросишь в гугле, он ответит

| Сообщение посчитали полезным: