Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Создаю сигнатуру через Флэйр, есть collision, обозначил те, что должны быть. При повторном вызове сигмэйк он тупо перезаписывает файл по новой не считывая параметры. Как быть, что делаю не так? Пути не играют роли.

П.С. Спасибо, жесть конечно , надо меньше думать и быть проще.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Прочитай внимательно коммент в начале exc файла.

| Сообщение посчитали полезным: mak

Добрый день. Ребят может Вы мне подскажете, хоть это наверное простой вопрос:
В Ida PRO 6.1 сделал дизасмб прошивки с Пик контроллера.
Есть значение такая строчка : bsf byte_RAM_0, 4, ACCESS
так вот byte_RAM_0-это значение я могу переименовать в любую текстовую строчку, а вот как мне тоже самое сделать побитно, т.е byte_RAM_0, 4- присвоить например W54 , а вот значению byte_RAM_0, 5 присвоить T32?
Или это невозможно сделать в этой версии Ида ПРО.

Спасибо.

| Сообщение посчитали полезным:

ну это ж не побитно? просто enum заведите и дальше примените к указанным значениям

а побитно это когда есть значения
1
2
3
4
5
6

и есть биты имен
1 A
2 B
4 C

тогда побитно для значения 6 будет выбрано имя B|C
и IDA тоже так умеет

| Сообщение посчитали полезным:

Вот бы Вы ещё подсказали как создать эти самые символьные константы, что то у меня проблемы возникают с их созданием.. Нет понимания как вообще это сделать, я так понимаю надо создать наподобие структуры этой переменной т.е 0-это тот о, 1-другое значение
Спасибо за внимание.

| Сообщение посчитали полезным:

Shift+F10

Добавлено спустя 1 минуту
стоп,
значению byte_RAM_0, 5 ничего нельзя присвоить
можно присвоить только значению 5, оно же является константой

| Сообщение посчитали полезным:

Видите я хотел чтобы можно было расписать как например:
PORTA equ 0F80
FSR_:0F80 RA0 equ 0
FSR_:0F80 RA1 equ 1
FSR_:0F80 RA2 equ 2
FSR_:0F80 RA3 equ 3
FSR_:0F80 RA4 equ 4
FSR_:0F80 RA5 equ 5
FSR_:0F80 RA6 equ 6
FSR_:0F80 RA7 equ 7


Enum, я открыл вот бы теперь на пальцах объяснить что туда вписывать?

Спасибо за внимание.
вот здесь побитно.. и подставлено значение вместо 0 -RA0

| Сообщение посчитали полезным:

не понимаю что вы хотите
приведу пример
bsf byte_RAM_0, 4, ACCESS
можно перевести в
bsf byte_RAM_0, W54, ACCESS


bsf byte_RAM_0, 5, ACCESS
в
bsf byte_RAM_0, T32, ACCESS

если вы значения типа 4 5 итд хотите от мапить в тектосвые значения
для этого
Shift+F10
ОК
N
вводите имя W54
значение 4
итд
дальше открываете IDA-View
подводите курсор к нужному значению и нажимаете m
итд
дальше разберетесь

найдите книгу IDA для новичков
или воспользуйтесь гуглом
http://www.openrce.org/blog/view/299
там полно примеров, даже на сайте ильфака

| Сообщение посчитали полезным:

Спасибо за внимание к моей персоне...
Есть ячейка в памяти RAM_0 её можно изменять как полностью 8-бит , так и побитно....
я хочу расписать "byte_RAM_0, 4" - это Flag_T
"byte_RAM_0, 0"- Fg_T т.е чтобы везде в коде подставлялось не безликое "byte_RAM_0, 4" , а Flag_T(это название естественно может быть другим).
Изначально Ида Про дает возможность переименовать только всю ячейку "RAM_0" на какое либо другое название.
Примерно так Ида может переименовать порты -это выглядит вот так в коде:
PORTA equ 0F80
FSR_:0F80 RA0 equ 0
FSR_:0F80 RA1 equ 1
FSR_:0F80 RA2 equ 2
FSR_:0F80 RA3 equ 3
FSR_:0F80 RA4 equ 4
FSR_:0F80 RA5 equ 5
FSR_:0F80 RA6 equ 6
FSR_:0F80 RA7 equ 7
т.е "PORTA,0" -Ида про представит как RA0

| Сообщение посчитали полезным:

вы хотите в окне IDA View какую то последовательность ассемблерных операторов заменить на какое то слово?
т.е.
вы видите в IDA View комманду
bsf byte_RAM_0, 4, ACCESS
а хотите что бы ида вам показала
bsf Fg_T, ACCESS
? боюсь такого ида не умеет

это делает процессорный модуль для вашего процессора, посмотрите в SDK
если на ваш модуль есть исходники, вы сами можете найти, разобраться и подправить модуль что бы он делал такую замену
а иначе никак

хотя может SDK еще какие то возможности предоставляет заменять какие то последовательность отображения в свое имя, этого я уже не знаю

| Сообщение посчитали полезным:

Да Вы поняли меня правильно... только я хочу не последовательность операторов изменять, а именно один оператор расписать побитно...для портов это возможно сделать при редактировании файла конфигурации под данный процессор-это я уже как бы делал...
Мне казалось ..что это возможно и очень просто...или для этого существует плагин..

| Сообщение посчитали полезным:

т.е. хотите пример,

именованные биты
2 = B
4 = C

bsf byte_RAM_0, 6, ACCESS
расписать как
bsf byte_RAM_0, B|C, ACCESS

т.е. 6 в битовом представлении будет как 2+4
так?
ну битовое представление тоже можно в ида, но опять же только для констант
а не так как у вас сразу и мем byte_RAM_0 и константа 6
реф мем он рефмем, в битовом представлении не описать по моему никак, даже структурами

| Сообщение посчитали полезным:

Ясно. Спасибо.

| Сообщение посчитали полезным:

Подскажите как посмотреть функции на которые приминились сигнатуры?

| Сообщение посчитали полезным:

Functions window

| Сообщение посчитали полезным:

Там все в кучу, как просмотреть те сигнатуры которые только что были применены? Все чтоли просматривать колёсиком

| Сообщение посчитали полезным:

нажмите F1 в ида, и почитайте опции запуска ида из командной строки, там можно дебаг по флирту включить
может будет то что вы ищете

| Сообщение посчитали полезным:

Всем привет
У меня одного не работает hexrays_CrowdDetox.plw и hexrays_tools.plw под IDA 6.6?
Тулзы пробовал комилить - выдает Ошибка 1 error C2065: typestring: необъявленный идентификатор d:\tools\ida\hexrays_tools-master\code\choosers.cpp 43 1 hexrays_tools и еще много всякого

| Сообщение посчитали полезным:

Подскажите, если декомпилировать программу целиком с помощью HexRays, то как поступить с глобальными переменными (static)? IDA не очень хорошо понимает, что переменная DWORD_00000001 - это не DWORD, а первый элемент массива, соот-но при повторной компиляции и запуске программы будет запись в чужую память. Т.е. как сделать так, чтобы переменные оставались на тех же местах и по тем же смещениям, что и в изначальной программе?

| Сообщение посчитали полезным:

не совсем понятно, но массивы есть массивы и ида+рейс их понимает и выводит в декомпиляции как массивы

пример какой то что ли продемонстрируйте

Добавлено спустя 1 минуту
aleXela пишет:
Тулзы пробовал комилить - выдает Ошибка 1 error C2065: typestring: необъявленный идентификатор d:\tools\ida\hexrays_tools-master\code\choosers.cpp 43 1 hexrays_tools и еще много всякого
конечно typesystem изменилась и никто тулзы не фиксил, на вас вся надежда

| Сообщение посчитали полезным:

reversecode пишет:
конечно typesystem изменилась и никто тулзы не фиксил, на вас вся надежда

Спасибо за ответ, я понял Вашу иронию (и сарказм?), но я не являюсь крекером, простой юзер.
Так что прошу помощи (выложите пожалуйста, если можно, рабочие) или наставьте неразумного на путь истинный.

И еще вопрос, как можно определить наследование классов?

| Сообщение посчитали полезным:

aleXela пишет:
И еще вопрос, как можно определить наследование классов?
Если речь идет о классах в C++, то - конструкторы и деструкторы, RTTI и vftable, по обращениям к полям класса, различные строки в методах класса(-ов) или около них и множество других "способов", которые в той или иной мере могут указывать на наследование и\или иерархии.

| Сообщение посчитали полезным:

Можно ли вешать на скрипты в IDA горячие клавиши? Или для этих целей надо плагин свой пилить?

P.S. Пилю скрипты по борьбе с юникодом:



| Сообщение посчитали полезным:

гугл говорит можно
--> Link <--
--> Link <--
AddHotKey

Добавлено спустя 2 минуты
int пишет:
Пилю скрипты по борьбе с юникодом:
а зачем
+100500 плагинов и скриптов в гугле
--> Link <--

Добавлено спустя 3 минуты
да и сама ида поддерживает
--> Link <--
только по умолчанию никто не настраивает

| Сообщение посчитали полезным:

reversecode пишет:
гугл говорит можно
Ступил, в списке IDC функций в справке ссылка AddHotKey даже использованная.

reversecode пишет:
+100500 плагинов и скриптов в гугле
Это не о том.

reversecode пишет:
да и сама ида поддерживает
По факту оно не работает:


| Сообщение посчитали полезным:

ну авто анализатор много чего не умеет, это не означает что нет поддержки кодировки,
преобразуй в ручную в строку

там XLat надо настраивать насколько помню
и сами строки видно не в IDA-View а в окне strings

| Сообщение посчитали полезным:

Мне сами строки пофиг, меня не прикалывают как они автоанализ кода гробят. Например, разрезают процедуры на две части. Такой каши можно еще добиться если сделать кривые релоки к EXE. Я пробовал) Отличная идея для протектора - код в мясо)))

Вот такой получился скрипт - чисто на горячих клавишах просеиваем английский алфавит. Вывод в лог для контроля, что строка это строка.


| Сообщение посчитали полезным: v00doo

Уважаемые, подскажите, пожалуйста, как дебажить 64 битный процесс в иде в Windows. Это делается через remote debug даже если я отлаживаю на одной машине? Или можно также просто как и 32 битный процесс?

| Сообщение посчитали полезным:

Ильфак too lazy сделать local debugger для 64 бит. Запускаете win64_remotex64 и вперед, в бой!

| Сообщение посчитали полезным:

что бы делать нейтив нужно и иду компилять в 64, а это еще +одна ида и длл, вообщем просто не хочет плодить сущности

| Сообщение посчитали полезным: