Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

скоро на улицах вашего города
The Function Identification and Recover Signature Tool (FIRST) developed by Talos --> Link <--

Добавлено спустя 6 минут
Plugin assists in creation classes/structures and detection virtual tables. Best to use with Class Informer plugin, because it helps to automatically get original classes names

--> Link <--

| Сообщение посчитали полезным: VOLKOFF, screen66, soft

reversecode

хмхм
© 2016 Cisco Systems, Inc. and/or its affiliates. All rights reserved.

| Сообщение посчитали полезным:

http://www.talosintelligence.com/about/

| Сообщение посчитали полезным:

reversecode пишет:
The Function Identification and Recover Signature Tool (FIRST) developed by Talos
Работает, но уныло. Надо двигло сигнатурное улучшать. Фильтры по коллекциям. Матчинг с превью делать. Короче, работы там еще огого.

-----
старый пень

| Сообщение посчитали полезным:

r_e пишет:
Короче, работы там еще огого.
Там больше понтов, да база прикручена. Работает (со слов докладчика на ZeroNights 2016) только на х86 (32-64), ни АРМ, ни РРС, ни MIPS не отражает. Вообще, пока что весьма простенько.

| Сообщение посчитали полезным:

говорят помогает реверсить дрова виндовые --> Link <--

| Сообщение посчитали полезным:

Ребят, а какой плагин для иды посоветуете, чтобы в ней как в оллудебаг можно было бы менять инструкции кода x86 ? Нравится в ида отлаживать проги даже больше чем в оллудебаг, поэтому хочется тот удобный функционал в нее добавить.

| Сообщение посчитали полезным:

roman921:

IDA 6.2 or later => "Edit/Patch/Apply patches to input file" menu option pushes all the changes into the original binary without the need to generate a dif file.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

roman921
Если патчить относительно немного, то достаточно удобен Keypatch. А потом, если нужно сохранить изменения в бинарнике, делать как указано сообщением выше.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
Если патчить относительно немного, то достаточно удобен Keypatch.
Дык, ведь:
Only X86 assembler is available. Support for all other architectures is totally missing.

| Сообщение посчитали полезным:

вот для этого manhunter и прикручивал hiew к IDA: по горячей клавише открывается hiew уже в нужном месте, можно патчить X86/X64.
http://www.manhunter.ru/software/828_skript_dlya_zapuska_hiew_iz_ida.html
п.с. аналогично легко и удобно hiew прикручивается к 010 Editor.

| Сообщение посчитали полезным: sendersu, gazlan, plutos

А ARM-то чем наколачиваете?

| Сообщение посчитали полезным:

Ха! - там походу взаимоисключающие параграфы. Напр., в Readme.md:

" - Only X86 assembler is available. Support for all other architectures is totally missing.
- The X86 assembler is not in a good shape, either: it cannot understand many modern Intel instructions."

а в TODO:

" 2) Some architectures such as X86, ARM & ARM64 are better tested than the rest.
Need more tests for Hexagon, Mips, PPC, Sparc & SystemZ."


b618_28.11.2016_EXELAB.rU.tgz - keypatch_assembler.png

| Сообщение посчитали полезным:

Apokrif
svladim
Это об том что в IDA

but unfortunately the built-in asssembler of IDA Pro is not adequate.
Only X86 assembler is available. Support for all other architectures is totally missing.
...
Cross-architecture: support Arm, Arm64 (AArch64/Armv8), Hexagon, Mips, PowerPC, Sparc, SystemZ & X86 (include 16/32/64bit).

Читайте немного дальше первых абзацев

parfetka
HIEW удобен в комплексе отдельно, для частичного патча если не писать поэмы Keypatch как раз хорош.

-----
DREAMS CALL US

| Сообщение посчитали полезным: plutos

=TS= пишет:
для частичного патча если не писать поэмы Keypatch как раз хорош.
А мне как раз поэмы и нужны были, сделал слегка по-другому.

| Сообщение посчитали полезным:

FLIRT Signature File Database (ARM, x86, x64)

boost, vcruntime, openssl, cmt, cpmt (all for windows)

--> Link <--

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: r_e, mak, sendersu, plutos, oldman, soft, Styx

о уже накидали, я ее видел когда только появилась, был один только libc от винды, думал на том и остановится))

| Сообщение посчитали полезным:

OKOB пишет:
FLIRT Signature File Database (ARM, x86, x64)
Дык они зависят и от компилятора и от его флагов (режима оптимизации, и т.п.)
И от версии того, что компилим (хота это довольно медленно меняется)
Boost там только MSVC 8 и MSVC 15, x86/x64.
У MS компилятор тоже довольно медленно меняется. И для релиза, скорее всего, народ пользует стандартный набор флагов.
Я к тому, что если примерно известно, что и чем компилили, их проще самому сделать для каждого конкретного случая.

| Сообщение посчитали полезным:

с вчерашнего рекона
https://bitbucket.org/cybertools/grap
какая то мега хрень с патерн матчингом по графах для ида, по идентификации всяких алго
но наличие там питона отталкивает разбираться))
может кому будет интересно поизучать

Добавлено спустя 1 минуту
хм, а тему повесили под ключ ? странно, как по мне пусть бы была доступна всем

| Сообщение посчитали полезным:

reversecode

Там дока есть, чепуха какая то. Обрабатывает выхлоп иды скриптом(не DFG), по сути тупо редактируя строки.

-----
vx

| Сообщение посчитали полезным:

в презентации оно повеселее
--> Link <--

| Сообщение посчитали полезным:

reversecode пишет: может кому будет интересно поизучать

что там разбираться, велосипед с квадратными колесами, посоны игрались с bison\flex, запилили какой то убогий недоязык описания сигнатур, а дальше пустились во все тяжкие, начали прикручивать к скрипту все что можно и что там даже нафиг не нужно. pefile парсит бинарь, capstone дизассемблирует блоки кода, эти блоки обрабатываются графом, выкидывая лишнее и собирая сигнатуру.. итд. итп.
нежизнеспособный гомункул, а использование всяких md5 намекает, что они не очень хорошо разбираются в этой теме. ssdeep допилить видимо ума не хватило.

| Сообщение посчитали полезным:

neshta пишет:
что там разбираться, велосипед с квадратными колесами, посоны игрались с bison\flex, запилили какой то убогий недоязык описания сигнатур
"посоны игрались" потому что на сигнатурах функций в IDA тоже далеко не уедешь.
Хотели какой-то более общий подход изобразить.
IMHO, идея правильная, имплементацию судить не возьмусь.
Бум надеяться, что разрабы IDA оценят и улучшат подход.

| Сообщение посчитали полезным:

Вопрос не по использованию (читать 48 страниц стремно) Есть положительный опыт загрузки IDA в IDA, чтобы HexRays работал?

| Сообщение посчитали полезным:

Там проверка на такой случай встроенная - чтоб не экспериментировали.
То что-то по старой памяти..

| Сообщение посчитали полезным:

dosprog
Дык это понятно. Я не о том спрашивал.

| Сообщение посчитали полезным:

ида в ида и хексрейс работает, как и хексрейс в хексрее
что за глупые вопросы ?

| Сообщение посчитали полезным: crypto

Сейчас вот попробовал, v.6.1,
- загрузил в неё консольную версию idau.exe (для скорости)
и нормально скушала, с декомпиляцией хексрейсом.
Только там весь парад в библиотеке ida.wll.
Но и её тоже кушает нормально.

--Добавлено--
..вон уже аппиридили.

reversecode пишет:
нет никаких ограничений в ида для исследования ида, так и всех ее модулей

А ведь было, емнип..
В каких-то старых версиях

| Сообщение посчитали полезным:

нет никаких ограничений в ида для исследования ида, так и всех ее модулей

| Сообщение посчитали полезным:

reversecode
Гружу в IDA 6.8 ее же, HexRays не работает

| Сообщение посчитали полезным: