Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

афтар официальный юзверь у ильфака, свяжись с ним, выскажи свои хотелки взгляды негодования
уверен он приймет к сведению, он активно консультировался у ильфака на форуме по том плагину когда узнавал как там питон на изнанку работает с идой

а между тем народ уже месяц пытается раскачать какую то сборку по всему о декомпиляции
--> Link <--
может кому будет интересно полистать

| Сообщение посчитали полезным:

А есть что-нить типа https://github.com/neoz/arm_ops , но чтоб понимало АРМ64? Или вообще хоть что-то, не обязательно к ИДЕ?

-----
SaNX

| Сообщение посчитали полезным:

ассемблер или что? посмотри в radare2
ассемблить он вроде умеет, но умеет ли arm64 хз

?обавлено спуст¤ 1 минуту
кстати а hiew?

| Сообщение посчитали полезным:

reversecode пишет:
ассемблер или что?
ассемблер, но только чтоб можно было вручную команду ввести и получить байткод быстро

-----
SaNX

| Сообщение посчитали полезным:

медленный но надежный вариант
--> Link <--

| Сообщение посчитали полезным:

reversecode
нене, нафиг такое. Вот прикинь: есть код типа mov X0, X8. Мне надо сделать mov X0, 1. Надо файл создать, написать команду, скомпилить, потом запустить декомпиль и посмотреть чо получилось

Я щас и то проще делаю: ищу по коду в иде mov X0, 1 смотрю байты

-----
SaNX

| Сообщение посчитали полезным:

декомпиль не нужен, там objdump уже все покажет

| Сообщение посчитали полезным:

SaNX пишет: ассемблер, но только чтоб можно было вручную команду ввести и получить байткод быстро

Для таких целей пользую rasm из radare, вполне удобно.
rasm

| Сообщение посчитали полезным:

F_a_u_s_t
It is possible to assemble for x86 (intel syntax), olly (olly syntax), powerpc, arm and java
Чот не написано про арм64

-----
SaNX

| Сообщение посчитали полезным:

SaNX пишет: Чот не написано про арм64

Поддерживает, собирать только самостоятельно надо или брать линупс версию, windows сборка поддерживает только 32 бита.
Rasm2
Нужно собрать arm.cs
radare2-capstone
Еще был какой то сторонний плагин, где то на github'e валялся.

| Сообщение посчитали полезным:

думал отдельной темой, но надеюсь флуда не будет
cмарт дек запаблишили соурсы своего декомпилятора

--> Link <--

зы насколько он полный судить не могу, сбилдите проверьте

| Сообщение посчитали полезным: plutos, mak

reversecode пишет:
cмарт дек запаблишили соурсы своего декомпилятора
Интересно, почему snowman показывается, как его форк? Они же залили сорцы только-только.

| Сообщение посчитали полезным:

Егор работает в яндексе и развивает свою версию декомпиля который разрабатывал или писал будучи в smartdec
сотрудничает ли он с ними еще или идет самостоятельно я не знаю
но если дифнуть соурcы, то можно увидеть что у Егора совсем другая версия, и в ней даже ARM есть в отличии от smartdec где только intel

| Сообщение посчитали полезным: RoadTrain

Может кто-то встречал такой феномен, после того как я загружаю сделанный ранее снэпшот, из меню пропадают параметры Псевдокод и СмартДек, если же загрузить с самого начала, переименовав снэп в стандартную базу, тогда все загружается как надо и видны пункты Псевдокода. Теперь нужно всегда переименовывать?!

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

я не помню снепшоты отрезаны для загрузки в демке или нет
возьми демку 6.8 с сайта проверь
а то может глюк и давно пофикшено

| Сообщение посчитали полезным:

Вопрос такого плана: снял дамп (чисто для исследования), загружаю в иду, в некоторой функе идет вызов void WINAPI GetSystemTimeAsFileTime, она отсуствует в таблице импорте, в дампе ес-но вызов принимает вид:

как иде правильно обьяснить, что ЭТО void WINAPI GetSystemTimeAsFileTime, чтобы в Hex-Rays были распознаны аргументы этой функи. Прежде всего имею ввиду, отсуствие заморочек с правкой таблицы импорта, да и самого дампа (переименование функи с определенным синтаксисом???)

| Сообщение посчитали полезным:

можешь попробовать добавить сегмент данных куда будет указывать этот адрес, а этот адрес превратится в dd переменную, которую переименуешь в название своей функции
потом в указателе этой функции укажешь через 'Y' сколько там параметров и типы

не уверен , но в теоретически должно сработать, надо только с сегментом данных угадать

| Сообщение посчитали полезным:

reversecode пишет:
потом в указателе этой функции укажешь через 'Y' сколько там параметров и типы
После переименование в известное имя API функции, тип проставляется автоматически

reversecode пишет:
не уверен , но в теоретически должно сработать, надо только с сегментом данных угадать
Именно так и делал, работает.

| Сообщение посчитали полезным:

Не понял.

ручная правка. что нужно прописать в operand: void WINAPI GetSystemTimeAsFileTime(pFileTime)? error syntax

| Сообщение посчитали полезным:

просто переименуй в GetSystemTimeAsFileTime или с подчеркиванием в _GetSystemTimeAsFileTime
аргументы оно должно само в _time функции расставить

| Сообщение посчитали полезным:

reversecode пишет:
просто переименуй в GetSystemTimeAsFileTime или с подчеркиванием в _GetSystemTimeAsFileTime
Undefined symbol

| Сообщение посчитали полезным:

что именно udefined ? ну задай в аргуменах 'Y' операнд void __stdcall GetSystemTimeAsFileTime(void *)
вроде так

| Сообщение посчитали полезным:

Undefined symbol и то и то.
короче я прописал это:

на аргумент lpFileTime hex-rays среагировал, а CALL [0217B881] так и остался.

| Сообщение посчитали полезным:

ничего не понял
как хексрейс в итоге показал декомпилированый код??
это же сегмент секции импорта получается, там атрибуты сегмента должны быть только для чтения
перепроверь переустанови Меню-Edit-Segments-Edit segment
Write аттрибут надо убрать
Сохрани, Закрой IDA с сохранением idb, и Открой еще раз этот idb
и жми F5 на своем call ds:[....

| Сообщение посчитали полезным:

ELF_7719116 пишет:
снял дамп (чисто для исследования), загружаю в иду, в некоторой функе идет вызов void WINAPI GetSystemTimeAsFileTime, она отсуствует в таблице импорте,

может все же импорт починить а не ИДУ насиловать?

| Сообщение посчитали полезным:

sendersu пишет:
может все же импорт починить а не ИДУ насиловать?
Да, я тоже об этом уже подумал

| Сообщение посчитали полезным:

какой то трейсер для ида, может кому то сгодится
semtraxs --> Link <--

| Сообщение посчитали полезным:

произошла утечка данных с сервера IDA/ резко всем легальным пользователям меняют ключи. ждем результатов атаки.
To be on the safe side we issued a new license key file for you. Please find it attached to this message. Please use the new key file to request future updates. Your old key will not be recognized by the server anymore.
линк на полное http://67.159.5.242/ip-1/encoded/Oi8vcGFzdGViaW4uY29tL0V3dDNrN2NH

| Сообщение посчитали полезным:

вопрос по Patch Byte, эта команда позволяет патчить до 16 байт, а если нужно больше, то что делать? Может есть какой плаг позволяющий патчить большие куски кода...

-----
Everything is relative...

| Сообщение посчитали полезным:

static getdumpx(name, ea, len, ofs)
{
auto hin, bb, i;

hin = fopen(name, "rb");
if(hin == 0) {
Message("Can't open in file\n");
return;
}
if(fseek(hin, ofs, 0)!=0) {
Message("Bad seek pointer\n");
fclose(hin);
}
for(i=0; i<len; i=i+1) {
bb = fgetc(hin);
PatchByte(ea+i,bb);
}
fclose(hin);
}

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: