Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Ой мля, завёл я DIE под 6.8 демкой с подставленным pyside от 6.6 короче. После мучений funcap остался лучше, я очень разочарован. DIE на некоторых простых крекмис не находит аргуметны с вводом того же ключа. Но может считать кол.во вызовов функций (записывая их аргс), так что call eax со всеми целями стоит в DIE database, строить красивый call graph. Но всё равно, funcap выходит победителем.

| Сообщение посчитали полезным:

доброго времени суток.
есть бинарник: нужно отладить в IDA.
есть инфа: процессор SHARC
вопрос: в самой IDA, при загрузке BIN, при выборе нету данного процессора. как поступить ?

| Сообщение посчитали полезным:

TigerSHARC что ли? Вы где его отрыли, архитектура же мертвая? Если вы имеете в виду торговую марку SHARC - то там обычный ARM должен быть.

Как открыть в IDA: написать процессорный модуль. А это, как минимум дизассемблер (как максимум ассемблер).

| Сообщение посчитали полезным: exT1m

int пишет:
где его отрыли, архитектура же мертвая?
http://www.uaudio.com/uad-plug-ins/uad-2-satellite.html - железка использует конкретно SHARC. есть файлы прошивки в BIN.
int пишет:
TigerSHARC что ли?
SHARC. они все от Analog Devices: Blackfin, SHARC, SigmaDSP, TigerSHARC, ADSP-21xx, Precision Analog Microcontrollers.

Добавлено спустя 23 минуты
вот инфа по нему: http://www.analog.com/en/products/landing-pages/001/sharc-processor-architectural-overview.html
int пишет:
написать процессорный модуль.
в данной ситуации - как это представляется возможным ?

| Сообщение посчитали полезным:

exT1m пишет:
в данной ситуации - как это представляется возможным ?
инструкшин мануал есть? нет? значит невозможно

| Сообщение посчитали полезным: exT1m

У вас коммерческий проект или поиграться? Теоретически даже в РФ есть которая, которая работает с аналогом TigerSHARC.

Добавлено спустя 1 минуту
Можете начать с этого: ADSP-21160 SHARC® DSP Instruction Set Reference

Добавлено спустя 5 минут
Примеры процессорных модулей:
https://www.hex-rays.com/products/ida/processors.shtml (часть того, что входит в комплект IDA имеет исходники)
https://github.com/gsmk/hexagon

| Сообщение посчитали полезным: exT1m

int пишет:
У вас коммерческий проект или поиграться?
"прошивка" содержит перечень функций для использования в этой железке, что я привёл выше. некоторые заблокированы (платные), некоторые разрешены. если поправить кое-что в бинарнике - можно разлочить все функции. так что на Ваш вопрос я не знаю как ответить. ни первое, ни второе ;)
int пишет:
Можете начать с этого
начал.

| Сообщение посчитали полезным:

A list of IDA Plugins
https://github.com/onethawt/idaplugins-list

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: HandMill, 4kusNick, DrVB_5_6

Доброго времени суток.
Заранее извиняюсь если немного не в тему.
В общем я использую для отладки Android .so библиотек IDA Pro 6.6
в частности Remote ARM Linux/Android debugger
Соответственно на самом устройстве запускаю android_server из папки /IDA/dbgsrv
В общем, фишка в том, что начиная с Android 5.0 (Lollipop) для отладки нужен Position-independent build of ARM Android remote debugger server (PIE build), который входит в комплект IDA Pro начиная с версии 6.7
Если у кого нибудь есть файл /IDA/dbgsrv/android_server из версии IDA Pro не ниже 6.7, буду благодарен если поделитесь.

| Сообщение посчитали полезным:

А простой gdb не пойдёт?

| Сообщение посчитали полезным: Karondeev

По идее простой gdbserver тоже пойдет, но уже привык к связке Remote ARM Linux/Android debugger и android_server. А так собственно говоря собирался с gdbserver разбираться, есть PIE build android_server не найду.

| Сообщение посчитали полезным:

Мы пробовали заниматься скрещиванием отладочных серверов и разных версий IDA - не очень-то и получается.

| Сообщение посчитали полезным: Karondeev

Я пробовал скрещивать android_server от IDA Pro 6.5 c Remote ARM Linux/Android debugger от IDA Pro 6.6 - получилась вполне себе работоспособная связка.
В What's new к IDA Pro 6.7 написано "Position-independent build of ARM Android remote debugger server (required for Android Lollipop)" если они просто пересобрали предыдущую версию с флагом использовать PIE, то вполне вероятно, что заработает.
Даже если не заработает, то интересно посмотреть на результат, по мне так менять API для взаимодействия это крайние меры, хотя начиная с Android 5.0 многое поменялось, но должна же быть совместимость с предыдущими версиями Android 4.x.x.

| Сообщение посчитали полезным:

Karondeev пишет:
Даже если не заработает, то интересно посмотреть на результат, по мне так менять API для взаимодействия это крайние меры, хотя начиная с Android 5.0 многое поменялось, но должна же быть совместимость с предыдущими версиями Android 4.x.x.
Вы имеете ввиду API IDA GUI <-> IDA remote debugger или IDA remote debugger <-> Android OS?
IMHO, Ильфак меняет первое и для того, чтобы халявщикам подложить.

| Сообщение посчитали полезным:

Я имею ввиду IDA remote debugger <-> Android OS
А так халяву любят все, особенно в России.

| Сообщение посчитали полезным:

развивайте свою версию опенсоурс андроид дебаггера, которую будете поддерживат постоянно в актуальном состоянии под последнюю доступную иду и собирать его как кому надо

| Сообщение посчитали полезным:

Hex-Rays Plugin Contest Results 2015 --> Link <--

| Сообщение посчитали полезным: Apokrif

спрашивали "hexrays и патерны" --> Link <--
вот пример скрипта который ищет такие strcmp memcmp итд и подменяет функцией--> Link <--
в рейсе конечно будет все равно лапша, но что то усовершенствовать можно

| Сообщение посчитали полезным:

reversecode пишет:
вот пример скрипта который ищет такие strcmp memcmp итд и подменяет функцией
Прочитал, но не понял, чем это лучше чем FLIRT/FLAIR?
К сожалению, автор рассматривает тривиальный случай win32. Интереснее было бы сделать тоже самое для ARM, где поиск идет с перебором всех возможных комбинаций регистров. Но это гораздо более сложная задача.

| Сообщение посчитали полезным:

флирт заинлайненные функции не распознает

| Сообщение посчитали полезным:

dant3 пишет:
флирт заинлайненные функции не распознает
Вы правы - об этом аспекте не подумал... хотя пост так и назывался!

| Сообщение посчитали полезным:

1. Как программно перейти в графический режим отображения программы
2. В режиме отображения программы в ввиде графа, каждому элементу графа (node) можно поставить в соответствие свой комметарий, в текстовом виде эти комментарии не доступны (их невидно) , как программно можно прочитать эти комменты?

| Сообщение посчитали полезным:

Нашел как программно перейти в грaфический режим

areavec_t ranges;
ranges.push_back(area_t(start_address,end_address));
open_disasm_window("Сaption window",ranges);

| Сообщение посчитали полезным:

Code:

1. idaman ssize_t ida_export get_cmt(ea_t ea, bool rptble, char *buf, size_t bufsize);

не оно

| Сообщение посчитали полезным:

это чтение обычного комента по адресу , но долго ковырялся и нашел , я назвал его групповым коментом

char *ida_export get_node_info(ea_t ea, int node, bgcolor_t *pcolor, ea_t *pea);

node и есть номер группы в графике

| Сообщение посчитали полезным:

Ida Pro 6.6 + SDK 6.6
Необходимо из плагина получить информацию о количестве, именах, типах и смещениях для всех аргументов и локальных переменных, которая отображается в окне "Stack". Как, например, здесь:


hash87szf пишет:
Ок. Понял как кол.во аргументов найти. Как и из каждого арга тинфо-т сделать. Дальше надо
argType = self.funcInfo.at(argIndex).type
argLoc = self.funcInfo.at(argIndex).argloc
argName = self.funcInfo.at(argIndex).name

У меня метод get_tinfo2( ea, &fti ) для функции срабатывает ( возвращает true и заполняет fti ) только если для этой функции определен тип в C notation. А если нет, то этот метод возвращает false и пустой fti.
Но тем не менее, в окне Stack информация обо всех локальных переменных и аргументах отображается.
Вопрос - как ее получить?

| Сообщение посчитали полезным:

Ida Pro 6.6 + SDK 6.6
Есть некоторые команды (для примера - sub), которые ассемблируются в трех или четырехбайтовую инструкцию в зависимости от размерности второго операнда:

но в обоих случаях тип данных для второго операнда op2.dtyp равен dt_word, хотя в комментарии в хидере сказано, что "This is the type of the operand itself".

Каким образом узнать его настоящий размер?

| Сообщение посчитали полезным:

Как в иде искать обработчики кнопок и события типа CreateForm И ShowForm ?

| Сообщение посчитали полезным:

в IDR найдете на порядок шустрее (Дельфи?)

| Сообщение посчитали полезным: