Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

awlost пишет:
при подтягивании .pdb шаблоные классы распознаются
А "чужой" .pdb (не от этого .exe/.dll) можно подгрузить?
Load PDB debug information file
Можно как-то подшаманить, чтобы IMAGEHLP.DLL думала, что он "свой"?

| Сообщение посчитали полезным:

Apokrif пишет:
А "чужой" .pdb (не от этого .exe/.dll) можно подгрузить?

Необходима возможность "вручную" задавать шаблонные типы.
А вот так как из pdb типы подгружаются, отображаются и более того - хексрейсом распознаются корректно,
возникает подозрение, что ограничение стоит где-то сверху в иерархии вызовов - ближе к пользователю
например в SetType ( set_tinfo2 )

И тут только одно на ум приходит - писать свой плагин (SHIFT-Y) являющийся альтернативой Y
Который оперирует на низком уровне с tinfo_t

| Сообщение посчитали полезным:

awlost пишет:
Необходима возможность "вручную" задавать шаблонные типы.
Это понятно. Я про "скомпилить все нужные типы в .pdb и загрузить его?
Одна проблема - как загрузить"чужой" .pdb...

| Сообщение посчитали полезным:

чужой pdb грузится через пункты в меню иды

| Сообщение посчитали полезным:

не знаю, писали ли или нет:
Retargetable Decompiler

Handles all the commonly used file formats (ELF, PE, COFF).
Currently supports the Intel x86, ARM, MIPS, PIC32, and PowerPC architectures.
Can decompile to two output high-level languages: C and a Python-like language.
Compiler and packer detection.
Extraction and utilization of debugging information (DWARF, PDB).
Signature-based removal of statically linked library code.
Reconstruction of functions, high-level constructs, types, etc.
Generation of call graphs, control-flow graphs, and various statistics.

Декомпилирует в онлайне, код генерит так себе, но по крайнем мере есть mips (попробовал для PSP, лучше, чем ничего). Я говорю именно об IDA Plugin, через сайт ни один файл толком не распарсил

| Сообщение посчитали полезным:

писали, но плагина для ида нет же

| Сообщение посчитали полезным:

[wl] пишет:
Декомпилирует в онлайне
Что-то как стремно им грузить...
Сразу будет видно, откуда у хаков ноги растут!

| Сообщение посчитали полезным:

Есть плагин для ida, в меню сайта последний пункт. (правда он появляется, если быть залогигенным на сайте, но это делать в любом случае придется, чтобы получить токен для плагина)

| Сообщение посчитали полезным:

плагин все равно на онлайн декомпиляцию отправляет файл ? тогда не нужно
если не онлайн тогда выкладывайте тогда сюда этот плагин

| Сообщение посчитали полезным:

https://yadi.sk/d/UgUExBIhnrrDZ

отправляет текущую функцию (под курсором). Но повторю, плагин без реги бесполезен, ему нужен токен

| Сообщение посчитали полезным:

Есть прошивка от процессора motorola mc68332, пробую ее в иде дазисмить, указывая этот проц, но он не определяет точку входа и прекращает анализ. А как ему указать ее ?

| Сообщение посчитали полезным:

открываете спецификацию по процессору и смотрите где там начальный адрес инициализации,есть ли вектора прерываний итд итп
когда будете знать с какой точки начинает работать процессор и где при этом находиться прошивка
в ту точку и ставите иду для начального анализа, остальные функции уже в процессе разбора находятся

| Сообщение посчитали полезным:

Кто-то пробовал реально менять дерево HexRays с выделением новых сущностей?
Конкретно интересует возможность создания плагина для распознавания inline-функций (актуально для крипты) при декомпиляции.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

reversecode, все-таки заставил иду это делать, универсальный проц 68ххх определил и сделал дизасм кода.

Еще хочу получить псевдокод прошивки моторолы, но он у меня не запускается, но с виндовс прогами работает.
Есть ли возможность изучать эту прошивку в псевдокоде ?

| Сообщение посчитали полезным:

конечно есть, куча софта в гугле и постоянно обсуждается про декомпиляцию разных процессоров в этой теме

Добавлено спустя 2 минуты
=TS= не думаю что лучший способ - сворачивать ast дерево С псевдокода
лушче или матчить асм код и сворачивать его в какие то импорт левые функци называя их инлановыми
либо посмотреть что там пытался выворачивать в аст HexRaysCodeXplorer

| Сообщение посчитали полезным:

reversecode пишет:
куча софта в гугле
Пробую так искать в гугле "motorola mc68k псевдокод", но ничего про псевдокод не нашел.
Какие софтины подскажете, плиз, для этого дела ?

| Сообщение посчитали полезным:

Можно hex rays подключить как-то, чтобы он моторолу псевдокодил ?

| Сообщение посчитали полезным:

нет, нельзя.

| Сообщение посчитали полезным:

reversecode
Меня интересуют ответы на конкретные вопросы, а не разговоры не о чём.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

В SDK есть такой нотификатрор

он вызывается, в ::ea_t, ожидаемо, адрес вызова функции.
в fti и rargs соотв. информация об аргументах самой ф-ии (из tinfo_t).

А где / как / каким образом - линейные адреса, где аргументы помещаются в стек/заполняют регистры перед вызовом?

Толкните пожалуйста в правильном направлении
---


Сам спрашиваю, сам отвечаю.
искомое отдается нотификаторами use_stkarg_type3 / use_regarg_type3
разобрался

| Сообщение посчитали полезным:

Где в ида указывать диапазоны сегмента кода и сегмента данных ?

| Сообщение посчитали полезным:

mazaxak
View - Open subview - Segments (Shift+F7) ?

| Сообщение посчитали полезным:

В IDA 5.2 пытаюсь открыть IDB file. IDA жалуется на то, что этот файл был создан с использованием пиратской (!) версии.
Выяснил, что нужно пропатчить blacklist code file.
Где он находится?
Он явно местный, потому что комп даже не подключен к сети.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

ida.wll и ida64.wll. Fix под это дело был.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: plutos

mysterio пишет:
Fix под это дело был.

Fix'а не нашел, пропатчил вручную.
Еще раз спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

С ида проблема при разборе 68к процов моторолы, дело в том, что автоматический анализ плохо работает и требуется вручную по всем функция ставить курсор и жать клавишу Р. Может есть какой плагин под это дело ?

| Сообщение посчитали полезным:

Скажите почему IDA 5.5 не находит текстовые строки в .exe файле (Microsoft Visual C++ 7.0 [Debug] [Overlay]). Это такая хитрая защита или особенности СИ? WinHEX, Win32DASM тоже не находят, не могу исследовать программу.

| Сообщение посчитали полезным:

Free-Man

Разные варианты могут быть:

-скажем строки кодирванные и только раскодируются в процессе работы программы,
-программа может быть упаковано
-текстовые строки находятся в другом файле итд...

Это не связано с IDA.

| Сообщение посчитали полезным:

Доброго времени суток,

Думаю, тут есть пользователи HexRaysCodeXplorer, которые с ним дружат. Не подскажите, как ему "подсказать", где лежит таблица виртуальных методов (относительно специфического плана)?

Есть получение адреса/вызов функции по таблице виртуальных методов, в Hex-Rays имею, например:
*(_QWORD *)(*(_QWORD *)v5 + 2688LL).

В данным случае класс представляет собой:
struct SomeClass {
struct SomeClass *self; // self class
struct MetaClass *base; // base class
void (*func1)(); // конструктор, деструктор, функции…
void (*func2)();
...
}
и IDA прекрасно обнаруживает SomeClass, обзывая его `vtable for'SomeClass и ресолвя все имена функций-полей.

Я знаю, что v5 — это указатель на на мой класс, и мне хочется привести v5 + 2688LL к нормальному имени.

Просто кастнуть я не могу, потому что типа IDA автоматически не создаёт, только именует секцию. Поэтому я руками выделяю нужную область в `vtable for'SomeClass, создаю структуру из выделения, а затем указываю тип для v5, получив в результате нужный результат:
v5->self->funcName
(ну, почти, деманглинга метода нет, но это уже не так страшно)

Таких классов может быть много, потому столь ручной процесс несколько долог, и я надеялся использовать HexRaysCodeXplorer. Однако максимум, что он мне выдаёт — это понимание того, что есть некоторый (условный) self, от которого надо получить смещение. Я не вижу возможности заставить его сконструировать self на основе нужного мне адреса :/

Спасибо

| Сообщение посчитали полезным:

Соратники,
Часто нужно сделать "косвенный" goto в окне hex dump, например на [bp-8]
Приходится делать так:
Перейти на bp-8 (g bp-8)
Переключить data format 4 byte int (4)
Скопировать адрес (ctrl-c)
Перейти на него (g ctrl-v)
Переключить data format 1 byte int (1)
А можно как-то сделать всё тоже самое проще, с меньшим количеством телодвижений?
Т.е. переходить по адресам типа [bp-8] или [edi].pointerToRawData

| Сообщение посчитали полезным: