Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Кто знает как убрать этот коммент? По причине неправильной обработки входных параметров, ИДА подумала что по этому адресу лежит структура SECURITY_ATTRIBUTES, но её там нет.

.CODE:00CC6C08 ; struct _SECURITY_ATTRIBUTES

| Сообщение посчитали полезным:

скрин шот покажи а то не совсем понятно
хотя скорее всего убираеться как комментарий
Shift+Ins
Ins
итд
там что то еще с контралом связано

| Сообщение посчитали полезным:

reversecode пишет:
Shift+Ins
Ins
Ест-но нет, не убирается. Чем поможет скриншот?

ИДА создала структуру и поставила коммент. Я убрал структуру, ибо нет её там на самом деле. Комент остался.

| Сообщение посчитали полезным:

img3.imageshack.us/img3/2595/idacomment.jpg
один из этих пунктов всегда срабатывает

| Сообщение посчитали полезным:

Да дело не в коментах - я же сказал. Если ты не в теме зачем постишь? Надо удалить саму структуру, то что я её андефайнил этого мало, нужно именно удалить.

Добавлено:
Вообщем я считаю что это баг. Логичного способа убрать наглый комент я не нашёл.

| Сообщение посчитали полезным:

дествительно я не понял...

потому и попросил скрин шот

| Сообщение посчитали полезным:

Y, del, enter

| Сообщение посчитали полезным:

reverser
Спасибо! А почему оно само не убирается?

| Сообщение посчитали полезным:

ну так коментарии и типы разные вещи
тогда да Y убрать тип

| Сообщение посчитали полезным:

reversecode пишет:
ну так коментарии и типы разные вещ
С точки зрения ассемблера это комент.

Добавил структуру SRB_IO_CONTROL в окно структур. Пытаюсь обозвать все стековые переменные как поля этой структуры. Как упростить это дело? Пробовал добавить в Stack Frame структуру на место первого её поля, но все равно на месте HeaderLength IDA предлагает сделать Timeout.



после автоматики:



| Сообщение посчитали полезным:

Как в дизассемлере (IDA pro 5.2), в описании внешней функции, явно указать через какие регистры передаются параметры?

в хелпе написано:
"IDA supports the user defined calling convention. In this calling convention the user can explicitly specify the locations of arguments and the return value. For example:

int __usercall func<ebx>(int x, int y<esi>);"
Однако при попытке сделать
int __fastcall readreg<eax>(char *i2c<eax>, char addr<edx>)
(я знаю, что именно через эти регистры передаются параметры)
она ругается "Bad declaration" - "
Illegal argument location specification
Command "SetType" failed

Как правильно указать регистры?

| Сообщение посчитали полезным:

вот так как написано на примере и делаете
а не выдумываете что то свое

| Сообщение посчитали полезным:

Спасибо, дошло!
нужно именно __usercall а не __fastcall

| Сообщение посчитали полезным:

Столкнулся с одной небольшой багой ИДЫ. Разобрался и дабы другие на грабли не наступали.

Выше обсуждался макрос самой ИДЫ
unicode macro page,string,zero
irpc c,<string>
db '&c&', page
endm
ifnb <zero>
dw zero
endif
endm

Так вот она смело сворачивает под этот макрос строки содержащие символ '%', например следующая строка:
unicode 0, <Could not find imported function in DLL %s>, 0

Скомпилировать сие чудо не удастся с получением серии ошибок
Assembling: L1_bl17.asm
L1_bl17.asm(64) : error A2006: undefined symbol : s
unicode(1): Macro Called From
L1_bl17.asm(64): Main Line Code

а листинг конца нашей юникод строки будет неожиданым
00000328 20 00 2 db ' ', 0
0000032A 30 00 2 db '0', 0
0000032C 0000 1 dw 0

А причина в том, что символ '%' в текстовом макро означает вычисление строки. И в нашем случае переменной 's' нет о чем мы получили сообщение и результат вычисления выражения и подстановки - 0 в текстовом виде попал в нашу строку.

для обхода этой каки нужно перед % поставить ! (чего не делает ИДА)
unicode 0, <Could not find imported function in DLL !%s>, 0
и тогда будет вам счастье

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Скажите пожалуйста, а можно ли приспособить Иду для отладки драйверов ядра windows vista или xp?
Например по тому же принципу, как это делает windbg - на соседней машине по com, 1394 или даже tcp.
Удаленная отладка exe и dll в Ida есть, а вот про удаленную отладку .sys я не нашел.
Это возможно? И если да, то где об этом почитать?

| Сообщение посчитали полезным:

Custler
В последней версии можно. В доступных на паблике - нет.

-----
старый пень

| Сообщение посчитали полезным:

Спасибо!
А последняя - это 5.5? которая на оф. сайте? или ещё более следующая, которая вообще нонпаблик?

P.S. Все ответы нашел в блоге - hexblog.com/2009/01/kernel_debugging_with_ida.html

| Сообщение посчитали полезным:

Есть такая проблема - после создания сигнатур ida (v5.2) говорит что они битые. Видимо, проблема с обработкой имен, типа "??0?$pair@Viterator@?$_Tree@V?$_Tmap_traits@IIU?$less@I@std@@V?$alloc ator@U?$pair@$$CBII@std@@@2@$0A@@std@@@std@@_N@std@@QAE@ABViterator@?$ _Tree@V?$_Tmap_traits@IIU?$less@I@std@@V?$allocator@U?$pair@$$CBII@std @@@2@$0A@@std@@@1@AB_N@Z"

Интересно было бы узнать пофиксили ли эту беду в следующих версиях.

-----
старый пень

| Сообщение посчитали полезным:

Есть код


в hex-rays преобразуется в


dd7.lpVtbl + 0x58 это WaitForVerticalBlank

Как сделать, чтобы декомпилировалось:
dd7.WaitForVerticalBlank(...) ?

| Сообщение посчитали полезным:

никак.
не умеет ида подхватывать автоматически таблицу виртуальных функций класса и подставлять вызов

офтоп: давеча спрашивал комьюнити о том, как ильфак исправляет баги и как рассматривает реквесты.
данная опция необходима с самого момента создания дизассемблера Ida Pro (классы-то с вф появились явно раньше ;)

| Сообщение посчитали полезным:

что значит не умеет ? умеет
все подхватываеться

вот другое дело с hex-rays есть много проблем
например указатели на функцию в +0 оно не различает
тоесть ->+0->+0->+0 не распознает
и много чего другого
но наверное ильфак уже все это пофиксил

| Сообщение посчитали полезным:

reversecode пишет:
что значит не умеет ? умеетвсе подхватываеться
Правда? Сыплю пепел на голову себе.
Подскажите как. (на примере 5.5)

| Сообщение посчитали полезным:

на васме все уже обтёрли

| Сообщение посчитали полезным:

reversecode пишет:
на васме все уже обтёрли
можно ссылочку?

| Сообщение посчитали полезным:

ut2004 пишет:
на примере 5.5

[offtop]
А ссылочку на 5.5 можно?
[/offtop]

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

На дему можно. Полная не утекала. Можно было и не спрашивать, уже бы стопяцот тем было, если бы утекла.

| Сообщение посчитали полезным:

ut2004
wasm.ru/forum/viewtopic.php?id=35166

| Сообщение посчитали полезным:

Archer пишет:
На дему можно. Полная не утекала. Можно было и не спрашивать, уже бы стопяцот тем было, если бы утекла.

ет точно! такое мимо не пройдет
давеча встретился мне крек на 5.5 демо - типо убирает все ильф. наги, но самое главное - чтение/запись idb - нету ((
так что польза сомнительна, разве что поиграццо

| Сообщение посчитали полезным:

Привет, коллеги !
у меня такая трабл:
вчера дизасмил в иде ntoskrnl.exe,
она скачала символы с сайта ms,
и я мог видеть имена и параметры тех функций,
которые не экспортируются в секции
экспорта; ида както нашла их =)
это функции системных сервисов,
вроде NtCreateKey и т.д.
но сегодня снова запустил, сделал новый анализ,
с самого начала. Получил названия функций из секции экспорта,
но системные сервисы определяются как какие-то sub_xxxxx.
пробовал удалить pdb-файл, который она (ида) скачала с ms,
но она его снова откуда-то достает. Куда DbgHelp копирует файл,
который он скачал? потому что при повторной загрузке символов в ида,
я не получил стандартного окошка с какой-то инфой с микрософта,
которое я видел, когда ида качала символы в первый раз.
Помогите, плиз, отобразить системные сервисы в удобочитаемом формате,
т.е. как они реально есть.
Заранее благодарю.

| Сообщение посчитали полезным:

sendersu пишет:
давеча встретился мне крек на 5.5 демо - типо убирает все ильф. наги, но самое главное - чтение/запись idb - нету ((так что польза сомнительна, разве что поиграццо
Да как раз оценить - а стоит ли приобретать 5.5
Ильфак сделал хитрО - ограничение одного сеанса работы с демо.
Хозяин конечно барин, но это ни в какие ворота, если честно. Как оценить и главное что? Посмотреть на новый и-фейс, посмотреть на bosch отладчик?
С хексрейсом ситуация еще забавнее. Чтобы узнать, а подходит ли оно для твоих задач - необходимо сначала приобрести
Подитожу. Серьезное намерение было приобрести иду.
Но пораскинув мозгами, почитав списки "whats new", посмотрев наконец вживую на примере 5.5 демо было принято решение, что приобретение нецелесообразно.
Отличий в дизассемблере 5.5 х32 от 5.2 не видно. Вобщем-то возможно уже достигнут предел и улучшать там нечего.
Также останавливает невозможность отладки вмваре х64
Также отсутсвие хексрейса х64
Покупать это сейчас, в надежде что когда-нибудь появится - нафик.
Видя переодичность выпуска новых версий - ... ну вы меня поняли.

| Сообщение посчитали полезным: