Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

OKOB пишет:
Ну наверное PDB файла
Да именно PDB файл я это и хотел сказать, но ошибся с названием.

OKOB пишет:
И каким это боком касается "PDP-11 — серия 16-разрядных мини-ЭВМ компании DEC, серийно производимых и продаваемых в 1970—80-х годах."
Да, наверное, не каким, c Английским туговато, а в справке к Иде когда делаю запрос PDB, то поисковик в справке там что-то выдаёт об этом процессоре.

Archer пишет:
Но генерит ли при этом PDB-не ясно.
Генирурует только вот потом IDA pro, PDB, и исходник не видит, в Олю исходник сразу грузиться если есть PDB .

| Сообщение посчитали полезным:

с каких это пор IDA сорусы показывает при наличии PDB ?

| Сообщение посчитали полезным:

reversecode пишет:
с каких это пор IDA сорусы показывает при наличии PDB ?
Всё понятно, значит, IDA сорусы не показывает при наличии PDB. Но можно вить, сделать плагин для этого.

| Сообщение посчитали полезным:

сделайте!

| Сообщение посчитали полезным:

в Иде получаю такой код



jmp dword_74E1A8 это вызов функции
007D9D18 007DAEC0 6334 ? UpdateData@CWnd@@QAEHH@Z MFC42
возможно ли вместо dword_74E1A8 вписать функцию и как если возможно?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
возможно ли вместо dword_74E1A8 вписать функцию и как если возможно?
Встать на dword_74E1A8 и нажать N?

| Сообщение посчитали полезным:

Видимо я неправильно сформулировал задачу.
По N у меня просто происходит переименовывание sub_60761A в UpdateData@CWnd@@QAEHH@Z

а мне нужно что бы прыжок указывал именно на вызов функции, которая находится в списке импортируемых
007D9D18 007DAEC0 6334 ? UpdateData@CWnd@@QAEHH@Z MFC42
а в таком виде я на нее не выхожу, хотя именно она вызывается по джампу(проверено в Оле)

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
а мне нужно что бы прыжок указывал именно на вызов функции, которая находится в списке импортируемых 07D9D18 007DAEC0 6334 ? UpdateData@CWnd@@QAEHH@Z MFC42
а в таком виде я на нее не выхожу, хотя именно она вызывается по джампу(проверено в Оле)

Ну и как такое может быть, что-то не вяжется?

Если я правильно понял, судя, по твоему вопросу у тебя в Оле этот джамп указывает на начало функции, которая начинается по адресу 00x7D9D18 , а в, иде тот же джамп не попадает на начало функции, которая начинается по адресу 00x7D9D18 в том же файле так?

Ида в отличие, от Оли те, джампы которые, распознаёт, старается дать им более осмысленные имена, к примеру, в Оли это выглядит так jmp 00x7D9D18 в виде адреса, а ида решила, что этот джамп является, переходам ,на начало функции под названием jmp UpdateData@CWnd@@QAEHH@Z и в место адреса 00x7D9D18, подставила название UpdateData@CWnd@@QAEHH@Z .( UpdateData Калласс (MFC) ).

Имхо: Нужно проделать с начало то, что ты уже проделал, стать на UpdateData@CWnd@@QAEHH@Z

И нажать N и подставить вместо названия UpdateData@CWnd@@QAEHH@Z, адрес 00x7D9D18 чтобы было так как в Оле. И в кометах над адресом 00x7D9D18 написать UpdateDat::CWnd

Другой вариант можно просто в наглую в Ида запатьчить этот переход с jmp UpdateData@CWnd@@QAEHH@Z на, jmp 00x7D9D18, предварительно настроив, иду для патчинга в idagui.cfg найти строчку DISPLAY_PATCH_SUBMENU = NO, и заменить с NO на YES. Ну а потом зайти в Edit->Patch program->Assemble… и запотчить это джамп , чтобы он указывал на начала адреса функции которая тебе нужна.

| Сообщение посчитали полезным:

Да это уже ближе но сделал по другому
зашел в импорт выделил эту функцию
отрыл кросрефренс и добавил в нем ссылку с адреса 60761A на эту функцию
появился коментарий CWnd::UpdateData(int)
зарем стоя на этом джампе правой клавишей мыши выбрал ручной режим редактирования и прописал адрес 007DAEC0(этот адрес в списке импорта) и все стало на свои места
.text:0060761A jmp 007DAEC0 ; CWnd::UpdateData(int)
и комент на месте и навожу курсор на джамп - показывает
extrn ?UpdateData@CWnd@@QAEHH@Z:dword
и по интеру на нее выхожу - даааа уж.
Спс всем.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

В программе используется два вида вызова функций


через переходник .text:0060761A jmp UpdateData; CWnd::UpdateData(int) дальше идет UpdateData dd 73D96A17h это адрес функции

либо сразу text:0074E67C Time__ dd 77C3AEA3h

когда иду в импорт там эти функции соответственно располложены
.idata:007DAEC0 ; public: int __thiscall CWnd::UpdateData(int)
.idata:007DAEC0 extrn ?UpdateData@CWnd@@QAEHH@Z:dword

.idata:007DB394 ; time_t __cdecl time(time_t *Time)
.idata:007DB394 extrn time:dword

можно ли мне сразу указать вместо .text:0047F288 call вызываемая функция
.text:0047F28F call time
можно ли так делать и не вызовет ли эта подстановка ошибок в дальнейшем дизассемблировании?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

В смысле, Вы хотите, вместо sub_смещение использовать более осмысленное название? Если да, то можно.

Два способа:

1) Ставите курсор на любое место, где символическое имя этой функции, нажимаете N и меняете название
2) Ставите курсор в любое место в теле функции, нажимаете Alt - P и меняете название

Ошибок такая подстановка не вызывает, все автоматически изменится во всех местах, где используется обращение к этой функции.

Но, в первом вызове, call j_UpdateData, замена будет неправильной, поскольку префикс j_ используется для функций-переходов и такая подмена немного, хоть и несущественно, изменила бы структуру читаемого кода.

-----
IZ.RU

| Сообщение посчитали полезным:

в строке .text:004802F1 call dword ptr [edx+38h] ; ?GetLength@CInternetFile@@UBEKXZ
вызывается функция, которая загружается после запуска программы, ее в импорте нет, возможно ли ее
занести в список импорта, что бы можно было на нее ссылаться, а не только коментарии делать.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

При прямых ссылках на импорт или джампы Ida так и пишет. В Вашем случае Ида предположила...

В Ida 5.5 Pro, думаю, что только если либо скрипт писать, либо плагин.

-----
IZ.RU

| Сообщение посчитали полезным:

Alt-F11

| Сообщение посчитали полезным:

Один из блоков ссылается на другой блок и этот блок за пределами функции. Граф к нему не проведен.
Можно ли в Ida 5.5 Pro включить блок в состав функции и добавить граф к нему? Или только Re-analyze с большим количеством нодов поможет?
----------------------------------------------------
Удалил 2 функции и создал заново. Получилось, блок вписался как FUNCTION CHUNK, но указатель стека 0, когда блоком выше - 68. Можно как-нибудь правильней сделать?

-----
IZ.RU

| Сообщение посчитали полезным:

Программа(обсидиум) генерирует исключение, неважно как, затем управление передается в обработчик, который выполняет некоторый код, затем управление переходит к слдедующему блоку кода, который создается в дополнительной секции(его нет в сегментах, но я его добавляю) затем управление по RET передается обратно к генерации исключения. Все эти блоки связаны обработчиком исключений.
Вопрос: как мне лучше связать эти блоки в IDA (например JMP или CALL), чтобы можно было видеть общую логику работы программы, поделитесь как вы эти конструкции реализуете?
Второй вопрос по IDC, при выполнении например PatchDword(0x79e0d7, 0x0000EB01), будут выброшены ноли, стоящие вначале 0000EB01, приходится патчить побайтно , как можно вставить все число
Dword 0000EB01.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Существуют ли нормальные способы поставить бряк на API функцию?

Вариант LocByName("kernel32_VirtualAlloc") не прокатывает на протекторах по известным причинам.

| Сообщение посчитали полезным:

не смотрел www.hex-rays.com/idapro/scriptable.htm ?

| Сообщение посчитали полезным:

n0name
И что я там должен был увидеть?

| Сообщение посчитали полезным:

Если у кого есть, дайте пож. pe_dlls.idc , или подскажите как подгрузить длл, кроме варианта
"Add binary file", поскольку потом еще гемора много с его разбором.
Благодарю.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
Если у кого есть, дайте пож. pe_dlls.idc...

86e8_11.03.2010_CRACKLAB.rU.tgz - pe_scripts.zip

| Сообщение посчитали полезным:

Подскажите, как выставить процессор по умолчанию (стоит MetaPC а нужен Intel Pentium4).
При каждом новом анализе приходится менять.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m, в ida.cfg находишь DEFAULT_PROCESSOR =, там ставишь допустим "exe" : "p4"

| Сообщение посчитали полезным:

gena-m пишет:
стоит MetaPC а нужен Intel Pentium4

Options->General->Analysis->Set должно воркать

| Сообщение посчитали полезным:

Как можно в иде сделать из такого кода


и адресация

где 66h ничто иное как указатель на Code000:00000063 то есть на переходники указанные в первом примере. Вопрос такой , как сделать в иде из первого примера структуру с сохранением зависимости офсета + переход

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Я, примерно в такой ситуации, делаю следующее:
в коментарии к mov byte ptr [ebx], 66h пишу ;Code000:00000021
затем открываю кронсрефренс стоя на этой строке и пишу в поле from Code000:0000060F
тип перехода offset
в результате можно стоя на строке Code000:0000060F при наведении на коментарий видеть прыжки и делать переходы на прыжки и обратно.
Структуру, по моему, сделать не получится (в том виде, в каком поставлена задача)поскольку для структуры нужен тип - данные,а не код, нужно будет перевести все прыжки в данные и мнемоники будут потеряны.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Ка убрать это разделитель в середине функции ?



Да, дествительно, разобрался с процедурой call sub_11BEFC4 ( тип прередачи и количество параметров) и все стало на свои места:


Спасибо progopis

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
А зачем его убирать? Его смыл в том, что в функции 0x11BEFC4 не найдено ничего, чтобы могло привести возврату из этой функции. Например нет инструкции RET или стоит ExitProcess.

| Сообщение посчитали полезным:

Как раз из за этого путается весь анализ, заполнение импорта у аспра и так запутан, а из за этих разделителей в каждой фнукции у меня получаются все эти блоки записи импорта висят отдельно и непонятно каким путем идет программа программа, короче получается трудно восстановить логику работы модуля. На скрине внизу эти два блока висят в воздухе, хотя к ним ведут разные ветки. Но хуже всего, получается если я становлюсь на любую из них то попадаю в одну и туже процедуру, хотя это разные направления.

b01e_03.04.2010_CRACKLAB.rU.tgz - 1.JPG

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

никак
это полезность в IDA, которая ломает ее функциональность

ps и таких полезностей еще ого-го сколько

хотя есть вариант в исполнительном файле найти причину пофиксить(но только для того что бы нормально работать в IDA)
рабочим конечно же такой файл уже не будет

| Сообщение посчитали полезным: