Здесь предлагаю обмениваться опытом использования, настройки этой тулзы.

Сегодня в Options->Color настроил основное окно дизассемблера все в старом классическом стиле Borland ща стало или в стиле Far(для справки первая версия была написана на Borland C++), но когда подносишь курсор на jne\je то в хинте появляется фон бежевый. Вот никак не могу найти место где это настраивается?! Может кто шарит ? )

-----
My love is very cool girl.

| Сообщение посчитали полезным:

VodoleYДружище, я думаю, что ты не пытаешься меня понять. Если почитаешь весь мой пост, то поймешь, что на 70% я сделал все сам: декодировал Base64, подобрал XOR ключи для дешифрования, сделал дешифрование путем составления карты замены символов.
Кстати, Base64 дополняется знаком = до длины строки кратной 4, как я понял.
Я заказываю все что угодно за деньги, но мне нужен Алгоритм шифрования поля.

| Сообщение посчитали полезным:

Как в IDA отследить функцию чтения из MDB данных с последующим раскодированием и заполнением грида. Все это происходит после нажатия на кнопку поиска? Интересует именно функция раскодирования.

| Сообщение посчитали полезным:

Хорош захламлять этот топик уже. Этот топик по иде, по настройкам, неочевидным фичам. И сюда явно не входит поиск нужного кода.

| Сообщение посчитали полезным:

Как правильно привязать стуктуру к локальной переменной?

Процедура обращается к нескольким локальным перменным, которые на самом деле являются полями структуры. Пробовал 'T' но неправильно выбирается поле, которое должно быть на самом деле, хочется как-то автоматизировать правильный выбор поля самой IDA (т.е. явно указать, что конкретная локальная переменная является структурой).

| Сообщение посчитали полезным:

int пишет:
явно указать, что конкретная локальная переменная является структурой

В шапке функи по Enter на имени локальной переменной входишь в редактирование локальных переменных и на адресе начала структуры по Alt+Q вызываешь список описанных структур, выбираешь из списка и Enter.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Существует ли возможность избавить от этого:

str1 db "Прин",0FFh,"ть",0

?

| Сообщение посчитали полезным:

int может раскоментить участок в ida.cfg

Завтра будем посмотреть.

зы: как не странно, не помогло)

| Сообщение посчитали полезным:

int
загляньте сюда
http://www.exelab.ru/f/action=vthread&forum=1&topic=6802

| Сообщение посчитали полезным:

Ничего странного, проблема не здесь.

sendersu
Ну заглянул:
jam пишет:
Еще никак не удается победить код FF, которым везде будет отображаться русская "я".

| Сообщение посчитали полезным:

подбросьте скрипты для конвертации
push ax
push cx
в однострочный push ax cx

и
push 1
push 0
call createevent
преобразования к invoke

| Сообщение посчитали полезным:

Народ, а можно как то в иде сделать так. чтобы ХЕКС-Вьюв окошко отображало физический адрес?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Физический или виртуальный? Если физический, то смысла нет . Виртуальный скорее имеется ввиду - может тогда Edit->Segments->Rebase program? А так для PE-файлов у меня в иде и так все адреса в норме...

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
Травой не поделишься? Абсолютно бесмысленный ответ. Причём здесь rebase?

VodoleY
А чем, собственно, Hiew не устраивает? Если физичический адрес нужен чтобы патчить программу, то IDA всё равно это не особо хорошо умеет. А в Hiew можно и пропатчить и сделать анализ.

| Сообщение посчитали полезным:

int ну вот трабла есть строка.. нарпример ПРОГА НЕ ЗАРЕГИНА . в файле вижу.. (как вариант она в русском юникоде) физ адрес есть.. а в иде пересчитывать парит. нелзяли сделать доп окошко с физ адресом в хексе?
ЗЫ как вариант так шоб синхрониз с кодом
ЗЫЫ Int Еслиб это было разово я б не парился. а там SenseLock+VMProtect.... вощем там много раз считать

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

int и VodoleY, ну какой нафиг физический адрес в ОС в защищенном режиме, вовсю использующей страничную адресацию? Смещение в файле вы имеете ввиду, так и говорите.

В иде оно здесь отображается
От модератора: В следующий раз просьба обрезать размер картинки

А вообще согласен, что ида - не лучший вариант для правки.

P.S. int, кофе растворимый будешь?

-----
IZ.RU

| Сообщение посчитали полезным:

VodoleY пишет:
int ну вот трабла есть строка.. например ПРОГА НЕ ЗАРЕГИНА . в файле вижу.. (как вариант она в русском юникоде) физ адрес есть..
чем в файле видите? какой программой?
может стоит научится видеть не по F3->F4 в фаре
а нормально смотреть в hiew, который все корректно отображает
и пользоватся G(go) в IDA

| Сообщение посчитали полезным:

DenCoder
безтолку
давай ты откроешь файл в фаре в хексе
и найдешь мне какое нибудь смещение потом так же в иде по своему методу смотря на смещение внизу?

вообщем VodoleY просто неумеет пользоватся инструментами

| Сообщение посчитали полезным:

reversecode
Дык в иде байтовый поиск есть, любую строку и не только можно в иде найти так.

На крайний случай WinHex функциональнее иды по поиску, преобразовать потом смещение всей секции, содержащей нужную нам хрень из IMAGE_SECTION_HEADERS в виртуальный адрес - 20 сек максимум.

Кто не умеет пользоваться инструментами, научится, когда гемор надоест ))

Ну Hiew, согласен, удобнее для поиска и правки без гемора в одном флаконе, просто что-то ломает на него переходить...

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
любую строку и не только можно в иде найти так.
В иде нет поиска строк, только поиск текста в базе. Если строка не была распознана, искать её придётся предварительно чем-либо переведя в HEX-цепочку.

| Сообщение посчитали полезным:

DenCoder как вариант, спс, но все же не то. reversecode Ты название топика читаеш? я ж не спрашивал в КАКОЙ программе сделать (именно в Хайеве я ее и нахожу) а спрашивалось как это сделать в ИДЕ чтобы не прыгать с проги в прогу и не перенабирать адрес.
int Именно так, строки приходица искать руками, а при условии что ида не сильно дружит с русским бывает проблемно.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY, задачи с уклоном в сторону специфичности с множеством итераций лучше и быстрее всех может решить только свой софт. Но в применении к иде могут помочь plw-плагины.

-----
IZ.RU

| Сообщение посчитали полезным:

Лучше скажите как сделать параметр типа "rva"? Ида их любит расставлять, а вот как сделать руками не пойму.

| Сообщение посчитали полезным:

VodoleY ну и в чем проблема? находишь то что надо в hiew, рядом уже показано что это за сегмент .TEXT .DATA или какой то другой
открываешь IDA и в ней жмешь G вводишь адресс и IDA прыгает туда куда надо

int пишет:
Лучше скажите как сделать параметр типа "rva"?
вмысле сделать?
пример какойто дай

| Сообщение посчитали полезным:

DenCoder я писал, в надежде что может я чегото не знаю и есть готовое решение. Вобщемто именно изобритением велосипеда и хочу занятца. Дописать к своему дебугеру модуль атаки на метоморфов, а конткретно разгребания и отбрасывания мусорного кода в процессе дебага.
reversecode Повторяю. Надеился, что можно легким движением руки сделать окно с физ адресом файла. Ибо задача не разовая, и даже перенабор текста адреса занимает уйму времени
З.Ы. По поводу не умеем пользоваца инструментами... Идой возможно. Но я из старой школы, в хайеве с 96го года. так что его вдоль и поперек. + фар не вариант. Никромансер Дос Навигатор Фореве.
З.Ы.Ы. И кста раз такой топик. Да разозлица Крис. Подцепили бы в шапку хотябы Образ мышления IDA. Была ж у меня пока книжки продавал... Продал... теперь жалею.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY ничего я не понял, а что при ленейном адрессе руками ничего вводить не надо?

| Сообщение посчитали полезным:

reversecode ИМХО дискуссия зашла в тупик. Вместо ответа КАК ЭТО сделать в ИДЕ, ты пытаешся меня убедить в том, что надо пользоваться фаром. Если есть вариант велком в студию, если нет, ща арчи будет бушевать.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY дискуссия дестительно зашла в тупик, покажите мне носом где я вам сказал пользоватся фаром?

я вам говорил о том что если пользоватся far+IDA тогда получается тот бред который вы городите
а я открываю hiew и нормально, нужный мне адресс набираю а G(go) в IDА и всегда попадаю туда куда надо
.TEXT .DATA или какой то другой сегмент
который одинаково видно как в hiew так и в IDA

оставляю эту дисскусию
пусть вам дествительно помогает тот кто понял, что же вы дествительно хотите сделать

| Сообщение посчитали полезным:

reversecode пишет:
пример какойто дай

VodoleY
Рекомендую пользоваться скриптами и плагинами (если не найдёте подходящий, можете создать свой, это ведь очень простая задача).

| Сообщение посчитали полезным:

Руками я делал так , наводил на офсет , edit -> Operand Type -> Offset -> Offset Ucer Defined -> галка use image base as offset base и окей ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Блин, пожалуйста, не пинайте, если не в тему...но мне кажется, что это сюда)
С Идой общаюсь уже лет 5 как минимум...но...до сих пор не знаю, как найти функции, которые распознались по сигнатурам - вот практически уверен, что где-то этот списочек присутствует, а найти не могу((( поиск по просторам сети не помог(
Готов на 3-хдневный бан в наказание, если это элементарно просто и всем, кроме меня, уже известно)))

| Сообщение посчитали полезным: