Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

reverser пишет:
http://hexblog.com/2009/06/ida_pro_55_goes_alpha.html

Windows Crash dump support: IDA now accepts MS Windows Crash dump files. Load the crash dump file and IDA Pro will create a database with the memory contents of the crash (if they were included).

Бугага. Седня запостю на xtin загрузчик минидампов винды для 5.2

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Ладно хоть докинг начали делать, а то мне без него не удобно )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

а можнов в IDC потипу Patch* делать call какойто процедуры из открытого в IDA исполняемого файла? (x86)

и еще вопрос
никто не встречал реализацию(емуляцию) в IDC аналога CPU x86?
зы
в планиге на С++ я знаю/видел

| Сообщение посчитали полезным:

Hexxx, куда запостите?
xtin это что?
загрузчик минидампов в иду ой как пригодится в хозяйстве.

| Сообщение посчитали полезным:

ut2004 пишет:
xtin это что?
xtin.activebb.net/

| Сообщение посчитали полезным:

никто не сталкивался как восстановить стековые переменные r,s в функции после того как они случайно затерлись?

из за них хекс рейс не хочет работать нивкакую

либо стукните мне в личку у кого есть купленная IDA что бы сформулировать вопрос ильфаку
а то уже этот глюк затянулся сильно...

| Сообщение посчитали полезным:

r - адрес возврата
s - сохраненный EBP.
Играйся с настройками стекового фрейма.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

как играться? мне их восстановить надо
редактирование функции результата что то не дает(Alt+P)


хм
каким то образом исправилось
если включить а потом отключить BP стек бейсет

| Сообщение посчитали полезным:

Вот задался вопросом в форуме "Вопросы новичков":
"Дизассемблировал прогу Идой. Для дальнейшей работы за неимением uni.inc файла соответствующие юникодовые переменные переделываю ручонками. Но надоело. Подскажите, пожалуйста, выход из этой дурацкой ситуации."
Но ответа не получил. Может здесь подскажут, что делать?

| Сообщение посчитали полезным:

Neuch____ пишет:
Вот задался вопросом в форуме "Вопросы новичков":
"Дизассемблировал прогу Идой. Для дальнейшей работы за неимением uni.inc файла соответствующие юникодовые переменные переделываю ручонками. Но надоело. Подскажите, пожалуйста, выход из этой дурацкой ситуации."
Но ответа не получил. Может здесь подскажут, что делать?

При загрузке файла в Иду сними галку с Analysis — Enabled. Затем, когда файл будет загружен, открой меню Options — ASCII string style... и выбери справа (Setup default string type) тип Unicode и после запусти анализ файла (перечернутый зеленый кружок на тулбаре).

| Сообщение посчитали полезным:

kioresk
До загрузки файла Analysis — Enabled не нашел.
Такая опция есть в Options->General->Analysis -> Enabled
Но она действует после загрузки файла
Я снял эту опцию, потом нажал на кнопочку "Reanalyze program", и уже далее следовал Вашим инструкциям, но как были unicode, так они и остались.
Вы можете меня ткнуть носом в то место, где я портачу?
P.S.
Понял, как Вы загружали файл, но ничего не изменилось: unicode с макросами так и остались. Выхожу из положения через правую кнопку мыши с последующим выбором "Date" для каждой переменной.

| Сообщение посчитали полезным:

хм
возникла другая нипонятка

непонятно почему ида после анализа вставляет посредине функции разделитель ;--------------------
перед разделителем функция инициализации CRT шная списка конструкторов или запуск деструтров
незнаю почему оно ей не нравиться но

но хексрейс считает что это конец на этой функции
и разбирает код токо до нее

еще хуже этот разрыв ;------------
ида дальше вытягивает рекурсивно до самого начала по всем функциям и анализ соответвено ламаеться

как вариант
это залезть hiew ов и перебить в екзе на тех функциях(CRT) retn - поскоку для анализа этого хватит что бы он не разбивал

но может есть более нормальных вариант?
никто не встречался с таким?

| Сообщение посчитали полезным:

reversecode пишет:
но может есть более нормальных вариант?
Задать самому конец функции ручками - E.

Neuch____ пишет:
Не надо вручную грузить файл, достаточно поставить в General -> Strings -> String Type нужный тип строк, IDA все переанализирует. То же можно сделать через Alt+A. Для вывода только строк нужного стиля в окне Strings сделай Ctrl+U -> Setup и выбирай нужные типы строк.

| Сообщение посчитали полезным:

black_parrot
Ничего не помогает: выдача типа unicode 0, <(null)>,0 никуда не пропадает.
Выхожу из положения через правую кнопку мыши с последующим выбором "Date" для каждой переменной.

| Сообщение посчитали полезным:

Neuch____
Для начала скажи, что ты хочешь добится, а то я тебя что-то слабо понимаю. На тот вопрос, который ты задал ответ уже дали.

| Сообщение посчитали полезным:

black_parrot
Например, в секции данных имеем:
aNull_0:
unicode 0, <(null)>,0
Его обработка задается в uni.inc, которого у меня нет.
Что я делаю: правой кнопкой мыши кликаю по переменной aNull_0 и в выпадающем меню выбираю "Data", которая делает следующую замену:
byte_47D058 db 28h ; (
db 0
db 6Eh ; n
db 0
db 75h ; u
db 0
db 6Ch ; l
db 0
db 6Ch ; l
db 0
db 29h ; )
db 0
db 0
db 0
Вот это мне и нужно. Но сие действо приходится делать для каждой переменной.
Ваши рецепты мне не помогли или я так туп, что не догоняю.

| Сообщение посчитали полезным:

не проще найти макрос unicode гдето в ассемблере или написать самому?
неужто вы хотите весь exe перебить в листинг asm и перекомпилять программу? ///кошмар

| Сообщение посчитали полезным:

reversecode
У меня их всего по несколько штук встречается, так что проблем нет. Может еще подскажут: ведь не только у меня unicode встречается.

| Сообщение посчитали полезным:

например у меня юникодов на мегабайты...
но я не занимаюсь компилированием листингов asm
так что увы
я токо в оригинальный C/C++ перевожу

спроси на wasm
может кто готовый макрос тебе для asm подкинет для юникода

| Сообщение посчитали полезным:

reversecode
Мне этого не надо - я знаю, что программа делает и у меня свои сишные болванки. Но эффективную по скорости часть кода, реализованную на ассемблере, вытаскиваю: на C такой скорости не достичь.

| Сообщение посчитали полезным:

Neuch____ пишет:
Вот это мне и нужно. Но сие действо приходится делать для каждой переменной.

по Shift+F2 (IDC command...) вставь следующий скрипт и выполняй его повторно

auto ea;
ea=ScreenEA();
ea=FindText(ea, SEARCH_DOWN, 0, 0, "unicode");
if(ea!=BADADDR) {
Jump(ea);
MakeData(ea, FF_BYTE, 1, 0);
}

или запиши клавиатурный макрос и прицепи его на кнопку, например: по Alt+T вводишь поиск строки "unicode", дальше Alt- Ctrl+Z Ctrl+T Alt+D B Alt+

Макрос будет на Ctrl+Z и выполняет поже что и скрипт

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB
Большое Вам спасибо.

| Сообщение посчитали полезным:

Neuch____ пишет:
До загрузки файла Analysis — Enabled не нашел.
Такая опция есть в Options->General->Analysis -> Enabled
Но она действует после загрузки файла
Я снял эту опцию, потом нажал на кнопочку "Reanalyze program", и уже далее следовал Вашим инструкциям, но как были unicode, так они и остались.
Вы можете меня ткнуть носом в то место, где я портачу?
P.S.
Понял, как Вы загружали файл, но ничего не изменилось: unicode с макросами так и остались. Выхожу из положения через правую кнопку мыши с последующим выбором "Date" для каждой переменной.

Пардон, я тебя неправильно понял, думал тебе наоборот надо было чтобы все строки в юникоде отображались.

| Сообщение посчитали полезным:

Neuch____
Думаю, проще будет не править то, что создала IDA, а просто не создавать UNICODE-строки в начальной стадии автоанализа: загружаешь файл в IDA - Kernel Options2 -> Check for unicode strings, убираешь флажок.

| Сообщение посчитали полезным:

Neuch____

В старых версиях Иды не было инклуда uni. inc. И в начале .asm печатался следующий макрос:

unicode macro page,string,zero
irpc c,<string>
db '&c', page
endm
ifnb <zero>
dw zero
endif
endm

Это оно ?

| Сообщение посчитали полезным:

svladim
Я на просторах инета нашел следующий код:
unicode macro string
irpc _x,<string>
db '&_x&', 0
endm
dw 0
endm
Но он работал криво. Ваш код явно полней.
Спасибо: попробую и отпишусь.

P.S.
Попробовал: для строки с кодом unicode 0, <">,0 выдает ошибку:
1.asm(847807) : error A2003:extra characters after statement
unicode(1): Macro Called From
1.asm(847807): Main Line Code

| Сообщение посчитали полезным:

svladim пишет:
unicode macro page,string,zero
irpc c,<string>
db '&c', page
endm
ifnb <zero>
dw zero
endif
endm


Neuch____ пишет:
Попробовал: для строки с кодом unicode 0, <">,0 выдает ошибку:

В макро от svladim потерян один символ конкатенации '&' для закрывающего апострофа

unicode macro page,string,zero
irpc c,<string>
db '&c&', page
endm
ifnb <zero>
dw zero
endif
endm

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB
Я это заметил: сравнил с кодом, который у меня был. Но ошибка та же вылезает.

| Сообщение посчитали полезным:

unicode 0, <''>, 0
1 irpc c,<''>
1 db '&c&', 0
1 endm
2 db ''', 0
aaa.asm(25) : error A2046: missing single or double quotation mark in string
MacroLoop(1): iteration 1: Macro Called From
unicode(3): Macro Called From
aaa.asm(25): Main Line Code
2 db ''', 0
aaa.asm(25) : error A2046: missing single or double quotation mark in string
MacroLoop(1): iteration 2: Macro Called From
unicode(3): Macro Called From
aaa.asm(25): Main Line Code
1 ifnb <0>
00000033 0000 1 dw 0
1 endif

Оно рассматривает обрамляющие апострофы для строки как элементы строки. Хочешь сгенерить пустую юникод строку используй unicode 0, <>, 0

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB
Спасибо, я понял. Но эту строку вставляет дизассемблер: наверняка в uni.inc сейчас другой макрос. Что то ребят жаба задушила из-за этой мелочи.

| Сообщение посчитали полезным: