Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

_Immortal_
по умолчанию в TEMP\ida директорию виндовса
но также просматривает и текущую директорию где лежит exe файл

ut2004
самое забавное не это
а то что после долгого изучения устройства самой IDA и hexrays удивляешься как оно вообще работает
приблизительно как с файл менеджером Far
пока он был закрыт мне нравился
но когда открыли его сорусы .... туши свет

| Сообщение посчитали полезным:

Есть два вопроса.
1. Можно ли, стоя на switch jump, прыгнуть на нужный case, как в ольке?
2. Можно ли, находясь в теле функции, быстро перейти на ее начало и конец? Задолбался отматывать километры кода.

| Сообщение посчитали полезным:

Vintersorg пишет:
Можно ли, находясь в теле функции, быстро перейти на ее начало и конец?

Ctrl+P "Choose function to jump to", курсор будет на той функе в теле которой ты находишься - на начало, а на конец, аля на начало следующей (иниче по человечески никак) или поиском строки Alt+T "endp"

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Vintersorg пишет:
2. Можно ли, находясь в теле функции, быстро перейти на ее начало и конец? Задолбался отматывать километры кода.

еще есть вариант - схлопнуть функу (минусом), стать чуть выше (курсором), и открыть ее назад (плюсом) - станет на начало.

Если не ставать чуть выше а потом назад - возвратитесь на то же место в функе.
Как быстро найти окончание - вот ето да, загадка (блин, такие что наз-ся повседневные движения - аннет, надо изголяться...... Жаль

| Сообщение посчитали полезным:

туторов бы , на подобие того что есть уже в переводе для олидбг , интерактивный курс взлома прог с помощью оли. Может кто такое встречал ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Vintersorg

"1. Можно ли, стоя на switch jump, прыгнуть на нужный case, как в ольке?"

а) Стоя на switch jump node переключится из текста в Graph mode (нажать пробел).

б) Нажать Ctrl+ стрелка вниз, появится диалог "Please select a node", напр.:

sub_403A00:loc_403B16 push offset aASharingViolat; jumptable 00403A3D case 26
sub_403A00:loc_403A44 push offset aTheOperatingSy; jumptable 00403A3D case 0
sub_403A00:loc_403A57 push offset aTheSpecifiedPa; jumptable 00403A3D case 3
sub_403A00:loc_403A6A push offset aTheSpecifiedFi; jumptable 00403A3D case 2
sub_403A00:loc_403A7D push offset aThe_exeFileIsI; jumptable 00403A3D case 11
sub_403A00:loc_403A90 push offset aTheOperating_0; jumptable 00403A3D case 5
sub_403A00:loc_403AA3 push offset aTheFilenameAss; jumptable 00403A3D case 27
sub_403A00:loc_403AB6 push offset aTheDdeTransact; jumptable 00403A3D case 30
sub_403A00:loc_403AC6 push offset aTheDdeTransa_0; jumptable 00403A3D case 29
sub_403A00:loc_403AD6 push offset aTheDdeTransa_1; jumptable 00403A3D case 28
sub_403A00:loc_403AE6 push offset aTheSpecifiedDy; jumptable 00403A3D case 32
sub_403A00:loc_403AF6 push offset aThereIsNoAppli; jumptable 00403A3D case 31
sub_403A00:loc_403B06 push offset aThereWasNotEno; jumptable 00403A3D case 8
sub_403A00:loc_403B24 push esi ; default

в) Enter или двойной клик по нужному кейсу.

А в текстовом режиме х.з. походу невозможно нет навигации по источникам перекрестных ссылок (XREFs from).

| Сообщение посчитали полезным:

mak
по распаковке тутор есть на ARTeam - Unpacking 4 Simple Packers with IDA Videotut arteam.accessroot.com/arteam/site/download.php?view.28 0

| Сообщение посчитали полезным:

mak

TiGa's Video Tutorial Series on IDA Pro
смотрели?

| Сообщение посчитали полезным:

От разработчика есть - Using IDA to deal with packed executables
www.hex-rays.com/idapro/unpack_pe/index.htm

| Сообщение посчитали полезным:

Привет.
Есть вопрос по ARM.
Для работы со стеком там в частности используются команды:

// push R0
STR R0, [SP,-#4]!
работает как
[SP-4]=R0, SP=SP-4;

// pop R0
LDR R0,[SP],#4
работает как
R0=[SP], SP=SP+4

Суть в том что при push в команде отрицательные смещения, а при pop - положительные.
IDA задолбала уже - она положительные считает за аргументы, а отрицательные - за локальные переменные.
Напрягает при анализе. Лично мне проще чтоб просто была константа.
Приходится в каждой функции править stack frame.
Как её заставить не создавать локальные переменные?
Или удалить из всех функций в уже готовой базе?
В настройках снял галку 'create stack variables', нажал reanalize - ничего не изменилось.

| Сообщение посчитали полезным:

Кто-нибудь кроме меня заметил, что VirtualProtect работает очень криво в Bosh отладчике?

| Сообщение посчитали полезным:

Neuch____ пишет:
Вот 5.5 вроде полная появилась. Это правда или туфта?
http://exelab.ru/f/action=vthread&forum=3&topic=15481

| Сообщение посчитали полезным:

SER[G]ANT,

Посмотрел на торрентсру: там пишут, что defs.h файла нет. Это правда? Как тогда компилить?

| Сообщение посчитали полезным:

cppasm

"IDA задолбала уже - она положительные считает за аргументы, а отрицательные - за локальные переменные.
Напрягает при анализе. Лично мне проще чтоб просто была константа.
Приходится в каждой функции править stack frame.
Как её заставить не создавать локальные переменные?
Или удалить из всех функций в уже готовой базе?"

Можно попробовать удалить их скриптом. Что-то типа этого:

auto ea, id, lastoffs, offs, name;
for(ea = NextFunction(0);ea != BADADDR;ea = NextFunction(ea))
{
id = GetFrame(ea);
lastoffs = GetLastMember(id);
offs = GetFirstMember(id);

for(;offs <= lastoffs;offs = offs + 4)
{
name = GetMemberName(id, offs);
if(name == "")
continue;

if(name == " r" || name == " s")
continue;

DelStrucMember(id, offs);
}
}

Но конечно надо смотреть что есть что на АРМе (выравнивание стека, что есть там " r" - return address и " s" - saved registers и т.д.) И сначала потренироваться "на кошках"!

| Сообщение посчитали полезным:

Neuch____ пишет:
Посмотрел на торрентсру: там пишут, что defs.h файла нет. Это правда? Как тогда компилить?
Ну возьми из 5.2 если так надо.
По моему мнению компилировать то что выдают Лучики смысла нету - оно всё равно собираться не очень-то хочет.
svladim - да, со скриптом были идеи, тут понятно. Всё почти получилось.
Единственное - теперь в командах константы красным подсвечиваются.
Типа LDR R0,[SP,#0x40] - "#0x40" выделено красным как ошибочный операнд.
Помогает если на каждом нажать К - пометить как Stack variable.
Сейчас разбираюсь как в скрипте автоматизировать.

| Сообщение посчитали полезным:

cppasm____ пишет:
Ну возьми из 5.2 если так надо.
cppasm - это я к тому, что может быть там и еще чего нету более существенного, чего из 5.2 не выдрать: обсуждение 5.5 ведь прикрыли.

| Сообщение посчитали полезным:

Следующая фича в только что появившейся 5.5: сохраняю файл с расширением .lst по контрлC - получаю один файл, а file->produce file->create LST file - другой файл. В 5.2 они совпадают.

| Сообщение посчитали полезным:

Neuch____ пишет:
это я к тому, что может быть там и еще чего нету более существенного, чего из 5.2 не выдрать: обсуждение 5.5 ведь прикрыли
Обсуждение прикрыли потому что там срач начался.
Я ничего такого не замечал чтобы что-то существенное выкинули.
А вот анализатор ARM кода намного улучшили, особенно на чистых бинарниах видно.
Завтра проверю насчёт листингов. А чем они отличаются? Сильно?
И что за листинг такой по Ctrl+C - Copy/Past чтоли?


В общем для удаления локальных переменных сделал такое:



Единственное что ещё немного не нравится - это offs=offs+4;
Но по другому не получается - GetMemberSize() возвращает -1, хотя GetMemberName() работает нормально.

| Сообщение посчитали полезным:

cppasm____ пишет:
Copy/Past?

Да: предварительно перевести выдачу в текст.

| Сообщение посчитали полезным:

не понимаю, зачем удалять локальные переменные? по крайней мере в 5.5 ида правильно расставляет локальные переменные и с плюсом, и с минусом:
.text:0005BBFC CC 30 4B E2 SUB R3, R11, #-var_CC
.text:0005BC00 AC 00 1B E5 LDR R0, [R11,#var_AC]
(R11 - в данном случае локальный SP). Такие переменные можно переименовать, а вот с цифрами гораздо сложнее анализировать

| Сообщение посчитали полезным:

[wl] пишет:
не понимаю, зачем удалять локальные переменные?
Вот зачем (IDA 5.2):

В константах это выглядит так:

Т.е. это одна и та же переменная в стеке, но один раз обозначенная как arg_4, другой как var_4

IDA 5.5 выдала такое, собственно тоже не фонтан, хотя лучше.

С точки зрения ARM вот это "[SP+4+var_4],#4" вообще не является правильной адресацией.

Мне с константами проще.

| Сообщение посчитали полезным:

Отладка в IDA через Bosh рулит несомненно.

KERNEL32.dll:7C803062 kernel32_GetVersion: ; CODE XREF: GetVersionj
KERNEL32.dll:7C803062 ; GetVersion_0j
KERNEL32.dll:7C803062 ; DATA XREF: ...
KERNEL32.dll:7C803062 mov eax, offset kernel32_GetVersion
KERNEL32.dll:7C803067 call bochsys_BxUndefinedApiCall
KERNEL32.dll:7C80306C mov eax, 0
KERNEL32.dll:7C803071 retn

Прога валится в куске кода, даже до антиотладки. Не говоря уже об отладке сплайсов, где после фейкового VirtualProtect вылетает исключение при попытке записи в код.

| Сообщение посчитали полезным:

Кто-нибудь знает - можно ли как-нибудь сконвертить базу от IDA 5.0 чтобы её открыла IDA 4.9?
Есть ли вообще какой-нибудь конвертер между разными версиями баз IDA?
И вообще: можно ли открыть базу, созданную той же версией IDA, но зарегистрированной на другое имя?
Короче можно ли базу другим пользователям передавать.

| Сообщение посчитали полезным:

Кто-нибудь смог успешно подебагать 16-бит апликухи в IDA? (win, NE format)
может через remote-gdb или bochs?

поделитесь опытом пож-ста

| Сообщение посчитали полезным:

cppasm пишет:
конвертить базу от IDA 5.0 чтобы её открыла IDA 4.9

врядли, разве что попросить Ильфака за денюшку

cppasm пишет:
можно ли открыть базу, созданную той же версией IDA, но зарегистрированной на другое имя

стопудово, если поискать в инете даже валяются разные базы, которые нормально открываются

| Сообщение посчитали полезным:

cppasm
5.5 версия открывает такие базы
ну или делаешь idc дамп а потом накладываешь его по новой

| Сообщение посчитали полезным:

reversecode пишет:
5.5 версия открывает такие базы
Мне наоборот надо. Downgrade базы.
Чтоб некоторые люди под Пингвином открыли, не очень лицензионной ИДА
Вот насчёт IDC это интересно - надо подумать.
--- Added ---
Да, дамп в IDC помог. Всем спасибо за помощь.

| Сообщение посчитали полезным:

Кто-нибудь знает, как в IDA Pro закинуть исходник (SDK) программы, а потом его просматривать в IDA Pro как в OllyDbg. Компилирую программу на masm32 с опциями создания PDB файла. Загружаю саму программу далее экспортирую PDB file но где потом можно посмотреть сам исходник в IDA Pro как в OllyDbg не найду.

п.с
Выбираю тип процессора pdp11 - DEC PDP/11 (PDP line) но это не прокатывает прога даже потом не грузиться O_o.

Подскажите, как закинуть исходник а потом его там просматривать как в OllyDbg.

Add:
Исправил, я имел виду PDB, а не PDP ошибся.

| Сообщение посчитали полезным:

-=Hellsing=- пишет:
с опциями создания PDP файла
Ну наверное PDB файла
Google: "Формат PDB (Program Database) используется для хранения отладочной информации"

И каким это боком касается "PDP-11 — серия 16-разрядных мини-ЭВМ компании DEC, серийно производимых и продаваемых в 1970—80-х годах."

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Сдаётся мне, он компилит под процессор PDP. Но генерит ли при этом PDB-не ясно. Откуда масм компилит под этот процессор, тоже неясно. При чём тут SDK, тоже неясно. Либо, нафига он выбирает процессор PDP-неясно. Короче, где-то здоровенный косяк.

| Сообщение посчитали полезным: