Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

При копировании copy value переменной из watch view - копируется только 1024 символа, а остальное обрезается. Как сделать так, чтобы копировалось полностью?

И второй вопрос:

Вот код, который делает некую операцию и результат засовывает в переменную v0


Каким образом можно наблюдать за содержимым переменной v0 при работе с приложением? Интересует не текущее значение в watch view, а история всех значений которые записывались в эту переменную

| Сообщение посчитали полезным:

А под иду нет плагинов для моторолы, а то hex-rays не декомпилит моторолы ассемблер.

| Сообщение посчитали полезным:

varenik пишет:
Каким образом можно наблюдать за содержимым переменной v0 при работе с приложением? Интересует не текущее значение в watch view, а история всех значений которые записывались в эту переменную
v0 это грубо говоря ax и история всех значений вряд ли будет полезна.
Вроде можно прикрутить код на точки останова, чтобы не останавливаться, а печатать переменную. Уже и не помню точно...

| Сообщение посчитали полезным:

Apokrif пишет:
v0 это грубо говоря ax и история всех значений вряд ли будет полезна.
Вроде можно прикрутить код на точки останова, чтобы не останавливаться, а печатать переменную. Уже и не помню точно...

это не двухбайтовый регистр в привычном виде. далвике насколько я понял вообще нет регистров.
v* это локальные переменные которые содержат java объекты.

Надеялся, что можно залогировать все, что проходит через эту переменную, т.к. останавливаться и вручную копировать каждый раз сильно напрягает

| Сообщение посчитали полезным:

varenik
Логировать значения можно так попробовать:
1) На точке останова ПКМ -> Edit breakpoint
2) В поле Condition ввести Message("%x\n", v0), 0

последнее значение говорит, продолжать дальше выполнение или нет. 0, который стоит, означает - продолжить, можно ввести 1 - будет останавливаться каждый раз и логировать значение, а можно заменить на (v0 == some_value)

Добавлено спустя -59 минут
Если по каким-то причинам нельзя использовать прямо v0, можно воспользоваться idc-функцией GetRegValue("v0")

Добавлено спустя 47 минут
Теория опроверглась. Существуют различия в представлении объектов отладки при нативной отладке и при отладке смали. Из idc не вытащить переменные. Можно ли это сделать из питона? И как? Какой-нибудь пример бы

-----
IZ.RU

| Сообщение посчитали полезным:

varenik пишет:
это не двухбайтовый регистр в привычном виде. далвике насколько я понял вообще нет регистров.
v* это локальные переменные которые содержат java объекты.
Не совсем так, хотя в данном случае это не важно:
Smali registers
Stack based vs register based virtual machine architecture
Это все лучше в Андроидной теме обсуждать.

| Сообщение посчитали полезным:

мож кто подскажет - в проге все строки юникод,
ида по умолчанию делает их анси (нечитабельно, потом меняю руками ,
есть ли метода как ее обучить с начала анализа сразу на юинкод строки?
спс

| Сообщение посчитали полезным:

sendersu пишет:
мож кто подскажет - в проге все строки юникод
У меня тоже все юникод, но только примерно половина utf32 и остальное utf8 (практически анси), а utf16 нету.

sendersu пишет:
ида по умолчанию делает их анси (нечитабельно, потом меняю руками
Во, а как руками-то менять? Может питона можно научить?
А искать потом можно нормально?

| Сообщение посчитали полезным:

Apokrif
По ссылкам ничего про отладку в иде и получение объектов

Apokrif пишет:
Во, а как руками-то менять?
Alt-A. Если нужно Utf-8, то кнопка Change Encoding

Добавлено спустя 3 часа 49 минут
Периодически просматривая список из 600 встроенных в иду idc-функций, как всегда сам спросил и сам ответил - для задачи получения значения регистра v0 и других под далвик-дебаггером есть DalvikGetLocal и другие )

-----
IZ.RU

| Сообщение посчитали полезным: varenik, Apokrif

sendersu пишет:
есть ли метода как ее обучить с начала анализа сразу на юинкод строки?

Можешь попробовать выставить в меню: "Options" -> "General" -> "Strings" -> "String type"

Apokrif пишет:
А искать потом можно нормально?

Подобно содержимому "Strings window" из питона работать со стоками можно через класс-надстройку "Strings"

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
Можешь попробовать выставить в меню: "Options" -> "General" -> "Strings" -> "String type"
Ему хорошо, у него все строки в одной кодировке.
А если все UTF, но разные 8/16(LE-BE)/32?

=TS= пишет:
Подобно содержимому "Strings window" из питона работать со стоками можно через класс-надстройку "Strings"
Типа пройти по всем Strings, попытаться определить кодировку и поменять?

| Сообщение посчитали полезным:

У меня такой вопрос:
Может, кто-нибудь сравнивал работу скриптов на idc и на питоне? Скрипт на питоне выполняется быстрее, чем на idc?

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Может, кто-нибудь сравнивал работу скриптов на idc и на питоне? Скрипт на питоне выполняется быстрее, чем на idc?
Я не сравнивал. По идее, и то и другое просто вызывают IDA API выполнить что-то, так что должно быть одинаково.
Если конечно не делать какой-нибудь bubble-sort на них, без IDA.
Но питон гораздо удобнее, IMHO.

| Сообщение посчитали полезным:

DenCoder пишет:
Скрипт на питоне выполняется быстрее, чем на idc?
смотря что будешь делать. Задачи-то разные бывают. У питона есть доступ к IDA SDK, нет необходимости дорисовывать плагины на с++. Есть возможность подключать/использовать внешние библиотеки, которые и самой Иде не снились.
На операциях с базой типа "Make..." - вряд ли ощутишь разницу.

Apokrif пишет:Если конечно не делать какой-нибудь bubble-sort на них

Ну вот попользовать SQLite на IDC замучаешься, на питоне - левой ногой...!

| Сообщение посчитали полезным:

DenCoder пишет: Скрипт на питоне выполняется быстрее, чем на idc?

Скорость упирается в обновление UI, элементарные вещи будут работать примерно с одной скоростью, а в целом python быстрее и это не альтернатива IDC, а альтернатива C++ plugins api. Написал скрипт плагин, закинул его в плагины и работает так же, как любой другой плагин написанный на плюсах, узкие места решаются написанием этих самых мест на C\C++ или любом другом языке умеющем собирать dll. Оптимизация по скорости это отдельная и долгая тема, от пересборки самого python, до настройки кэширования, менеджера памяти или дерева ast, но для подобных задач подобное не требуется.

| Сообщение посчитали полезным:

shellstorm пишет:
Скорость упирается в ...
Все хором взялись мерить скорость для разных вариантов... вместо того, чтобы уточнить у DenCoder, что именно он имел ввиду?

| Сообщение посчитали полезным:

DrVB_5_6 пишет:
На операциях с базой типа "Make..." - вряд ли ощутишь разницу.
В основном функции Rfirst(), Rnext(), RfirstB(), RnextB(), strstr(), substr(), GetArrayElement(), SetArrayString(), SetArrayLong(). При переходе на питон 3 последние можно заменить... Я почему спрашиваю - хочу узнать, стоит ли перекладывать код в 1к+ строк с idc на питон. Видимо, стоит попробовать

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
При переходе на питон 3 последние можно заменить...
последние 5 !!!
DenCoder пишет:
Видимо, стоит попробовать
Только ради спортивного интереса. На скорость вряд ли повлияет!!!
Ну 1к+ - это совсем чуть-чуть. Можно тренироваться.

| Сообщение посчитали полезным:

Другой вопрос - почему в 6.8 не работают далвик-функции ?

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет: хочу узнать, стоит ли перекладывать код в 1к+ строк с idc на питон

Если данный код универсален и возможно использование в подобных задачах, однозначно стоит, завести свою собственную библиотеку вспомогательных функций, это избавит от постоянного написания тысяч строк, это выгодней в плане архитектурного решения с заделом на будущие, а если перевести ради того, чтобы перевести, нет, не стоит.

| Сообщение посчитали полезным:

Хочу допилить этот плагин:
http://rmadair.github.io/windbg2ida/ (здесь же описание и устаревший исходник)
Требуется помощь в его допиливании
под иду 6.8. Имхо, он очень поможет в исследовании программ, которые требуют ввода ключа - сразу видно, какая ветка неактивна при вводе неправильных данных и где надо свернуть..
Описание: трейсим файл в wdg, записываем файл в лог и с помощью плагина красиво расскрашиваем трассу выполнения. В архиве по ссылке ниже "своя работа" - файл плагина немного перепилен, под апи иды6.8 (но продолжает ругаться на питон!), а также мой exe'шник и снятый лог трассы - просто открываете exe в иде, запускаете плагин и открываете mylog.txt.

http://www113.zippyshare.com/v/fhQe1BrN/file.html

| Сообщение посчитали полезным:

так хочу допилить или допилили ?
если допилии свяжитесь с автором пусть пульнет изменения, а то нет на гитхабе свой форк создайте

Добавлено спустя -56 минут
--> Link <-- и пуляйте свои допиливания

| Сообщение посчитали полезным:

не допилил (что, не там тему создал?) - питон ругается! Возможно, профи посмотрят Этот rmadair на почту не отвечает - где-то находил его ящик. Похоже, этот плагин писался для версии <5.5, к которой как-то прикручивался питон, т.е. давно дело было.
п.с. вообще, очень не хватает мануалов по питоновким функциям иды и примеров..

| Сообщение посчитали полезным:

parfetka пишет:
очень не хватает мануалов по питоновким функциям иды и примеров..
Какие там мануалы нужны? Хелпов онлайн с сайта Иды мало? В самих питоновских каталогах Иды есть вся информация. Питон-то скриптовый язык!!! + СДК самой Иды. И флаг в руки и вперёд с песней!!!

| Сообщение посчитали полезным:

parfetka пишет: Требуется помощь в его допиливании

использовать отладочное ядро для покрытия - плохая идея. возьмите dbi или эмулятор, тем более уже есть плагины в разной степени работоспособности и как раз под эту версию IDA, и для решения такой же задачи.

| Сообщение посчитали полезным: parfetka

shellstorm
ничего не понял, но спасибо. Видел плагины для показа трассы других трейсеров (это конечная цель, не обязательно использовать именно этот плагин и wdg), но на тот момент они заводились только под линуксом, либо не наглядно, как VERA pin trace...

| Сообщение посчитали полезным:

Всем привет,
Возможно ли получить текущую декомпилированную строку из псевдокода?
Нужно для IDAPython, IDA 6.8:
Для полного декомпила decompile(), но нужно как get_curline() только декомпилированную
Спасибо
Отменяется, кому нужно:
get_custom_viewer_curline(get_current_viewer(),False)
Только она декорирована, так что нужно парсить.

-----
В облачке многоточия

| Сообщение посчитали полезным:

у меня всё заработало:
--> Link <--
исползовал плагин:
https://github.com/gaasedelen/lighthouse

| Сообщение посчитали полезным:

Подскажите пожалуйста, как отключить dll rebasing при использовании IDA?
Перерыл весь интернет, но эффективного решения так и не нашел:
отключение флага "DLL can move" не помогает, изменение ImageBase у dll не помогает, а при установке системной переменной IDA_NO_REBASE становится невозможным отлаживать программу, так как dll все равно перемещается, и лишь в IDA Debugger адреса остаются прежними, при этом теряется связь между debugger-ом и программой в памяти.

Может я неправильно выбираю метод отладки?:
в IDA загружаю файл dll, может можно избежать rebasing загружая файл exe и зафиксировав необходимый модуль каким-то образом?

PS: rebasing запускается каждый раз при начале отладки, и занимает много времени. Base address каждый раз новый

| Сообщение посчитали полезным:

ида не причем, это виндовый ASLR

| Сообщение посчитали полезным: