[IDA] как найти все базовые блоки?

Сейчас на форуме: rmn, exp50848, _MBK_ (+9 невидимых)

Посл.ответ	Сообщение
GoldFinch Ранг: 24.4 (новичок), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 16 декабря 2010 12:31 · Поправил: GoldFinch · Личное сообщение · #1 Надо наиболее надежным способом найти все базовые блоки (basic blocks). (Базовый блок соответствует одному прямоугольнику графа функции) Подойдут решения использующие IDC или IDAPython или плагин к IDA. Версия IDA - 5.5 Есть пример такого кода в исходниках CoverIt, но мне кажется что там используется неправильный подход - началом базового блока считается инструкция после конца базового блока, а на практике после конца базового блока может быть мусор, или данные которые анализатор распознал как код. Я набросал IDC скрипт, который считает началом базового блока начало функции или инструкцию на которую есть ссылки, но не уверен что лучшее решение. Code: // dump_bb.idc // // Generates file with basic blocks starts // #include "idc.idc" static main() { auto base; // module base auto sectionStart, sectionEnd; // analyzed area boundaries auto ea; // current address auto fn; // current function auto hOut; // output file auto percentDone; hOut = fopen(GetIdbPath() + ".bb", "w"); fprintf(hOut, "%s\n", GetInputFilePath()); base = FirstSeg() - 0x1000; // TODO: find more reliable way to get module base fprintf(hOut, "%x\n", base); sectionStart = SegStart(AskAddr(ScreenEA(), "Any address inside the segment to scan:")); sectionEnd = SegEnd(sectionStart); Message("Searching basic blocks..."); for(ea = sectionStart; ea != BADADDR; ea = NextHead(ea, sectionEnd)) { if(!isCode(GetFlags(ea))) continue; // ensure that ea is inside a function fn = GetFunctionAttr(ea, FUNCATTR_START); if(fn == BADADDR) continue; // it should be function start // or there is code xref to this address (assume that data xref can't point inside function) if(ea == fn \|\| RfirstB0(ea) != BADADDR) fprintf(hOut, "%x\n", ea - base); // write RVA to file } fclose(hOut); Message("All Done.\n\n"); } \| Сообщение посчитали полезным: svladim

int Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 16 декабря 2010 12:54 · Личное сообщение · #2 IDA это делает очень криво, могу дать пару примеров, когда ида не находит все базовые блоки. Решение тут только одно - писать свой софт. Лучше в виде плагина для той же IDA. Наработки у меня есть (ага, как всегда), но времени нет. \| Сообщение посчитали полезным: Hexxx
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 16 декабря 2010 14:06 · Личное сообщение · #3 не знаю правильно ли я понял что тебе надо gdl_graph_t вот некоторые линки code.google.com/p/idapython/source/browse/trunk/swig/gdl.i?r=229&spec=svn317 www.hex-rays.com/manual/sdk/hexrays__sample5_8cpp-example.html
ciam Ранг: 5.4 (гость), 4thx Активность: 0=0 Статус: Участник	Создано: 16 декабря 2010 14:58 · Поправил: ciam · Личное сообщение · #4 лучший вариант - это самому строить CFG граф, т.к. потом будете иметь возможность его упрощать (что важно при анализе современных протекторов/малваре). у меня довольно неплохо работал такой алгоритм: - базовые блоки добавляются при нахождении ветвления (ну естественно ) - если ветвление идёт в уже существующий блок, то этот блок делится на 2 блока - чуть сложнее с определением switch tables. нужно анализировать код - иногда без деобфускации кода, правильный граф просто нельзя построить - последний этап - можно убрать незначимые узлы
Hexxx Ранг: 481.4 (мудрец), 109thx Активность: 0.18↘0 Статус: Участник Тот самый :)	Создано: 17 декабря 2010 02:40 · Личное сообщение · #5 diablo.elis.ugent.be/CFGreconstruction вот эта штука тоже строит базовые блоки ----- Реверсивная инженерия - написание кода идентичного натуральному
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 19 декабря 2010 18:48 · Поправил: Clerk · Личное сообщение · #6 GCBE. http://www.woodmann.com/collaborative/tools/index.php/GCBE_(Control_Fl ow_Graph_Creation_And_Build_Engine)

Для печати