Есть несколько неясных моментов в работе IDA.

Предположим есть EXE файл, использующий для своей работы 3-и (30-ть) DLL.
Есть ли способ заставит IDA загружать ВСЕ библиотеки каждый раз по ОДНИМ И ТЕМ ЖЕ адресам?

Я пока не могу этого добиться.... Как следствие, всякий раз, когда я начинаю заново анализировать DLL-ки, все добавленные мной комментарии, имена функций и переменных исчезают и дисассемблирование превращается в "тихий ужас"...

Был бы очень признателен за разъяснения, как этого "ужаса" можно избежать.

PS
IDA 4.8 (Wzor)

| Сообщение посчитали полезным:

не совсем понял вопрос. адреса "съезжают" после запуска .exe в дебаггере IDA?
так они и не обязаны грузиться по imagebase

| Сообщение посчитали полезным:

Скорее всего я не правильно выразился...

Суть в следующем: при запуске отладчика, EXE + DLL загружаются и таинственный процесс познания.... ( это понятно +) )
Анализ программы идёт на ура: обнаруженные функции и переменные благополучно переименовываются, комментарии, как и положено, сохраняются там, где их ввели. Всё прекрасно, до.... до окончания отладки и повторного её перезапуска.

После этого, все (или почти все) метки, имена функций, комменты куда-то деваются (точнее остаются по прежним адресам) и приходится всё делать сначала.

И, как мне кажется, если заставить грузиться все DLL по определённых адресам то моя мега работа, таки, будет продвигаться вперёд.

Вот и вопрос:
Что сделать, чтобы всё мной обнаруженное, добавленное и переименованное оставалось на своих местах?
Кстати, если ли способ, при котором имена функций и переменных сохраняются при загрузке DLL по произвольному адресу, то это было бы ещё лучше!

Спасибо.

PS
Видимо я что-то очень сильно недопонимаю.....

| Сообщение посчитали полезным:

честно скажу, как заставить все dll грузить по одному и тому же адресу - не знаю. наверняка ведь у всех dll imagebase один и тот же прописан. вот система и распихивает их куда попало

| Сообщение посчитали полезным:

ssx
>честно скажу, как заставить все dll грузить по одному и тому же адресу - не знаю.
ИМХО, достаточно сделать ImageBase разными для каждой длл.

| Сообщение посчитали полезным:

Тогда все библиотеки будут загружаться каждый раз по одним и тем же адресам.

| Сообщение посчитали полезным:

да, но imagebase я думаю нельзя просто поменять в хедере. нужно его указывать при сборке dll.

| Сообщение посчитали полезным:

ssx
Вроде бы можно было

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

>честно скажу, как заставить все dll грузить по одному и тому же адресу

Хочу для ястности уточнить, что не нужно грузить ВСЕ DLL по ОДНОМУ И ТОМУЖЕ (СТРОГО КОНКРЕТНОМУ +) ) АДРЕСУ!!

Нужно, чтобы загрузившийсь в ПЕРВЫЙ сеанс по произвольно выбранным адресам, в ПОСЛЕДУЮЩИЕ сеансы анализа эти адреса загрузки DLL НЕ МЕНЯЛИСЬ!

Вот...

| Сообщение посчитали полезным:

ну, раз говорят что можно - поставь всем dll разные imagebase и будет тебе счастье

| Сообщение посчитали полезным:

>ну, раз говорят что можно - поставь всем dll разные imagebase и будет тебе счастье

Прекрасно!!!!!!!!
Осталось выяснить как....

| Сообщение посчитали полезным:

hiew file/enter/f8/f3 ???

| Сообщение посчитали полезным:

>hiew file/enter/f8/f3 ???

А возможно обойтись только средствами IDA'ы?

| Сообщение посчитали полезным:

ну есть конечно в IDA менюшка patch...

| Сообщение посчитали полезным:

>ну есть конечно в IDA менюшка patch...

Вообще интересно получается...
Чтобы была возможность при очередном сеансе анализа программы видеть ВСЕ изменения внесённые на предъидущем шаге нужно "ковырять" (изменять Image Base) оригинальный библиотеки?
Что-то очень сомнительно... причём вдвойне..

А как же многочисленные .map, .ids, .pdb, gbg, .flirt файлы? +)
Может какой скриптик есть?
Может просто есть способ привязывать имена(коменты) не к абсолютным адресам, а к смещениям относительно адресов загрузки кажной конкретной DLL-ки?

Вопросы, вопросы, вопросы...
От ить, что ж делать то...

| Сообщение посчитали полезным:

Так если сама винда как папало грузит либы. Чего ж теперь делать. Только IB править %)

| Сообщение посчитали полезным:

Причем следить за тем, чтобы небыло перекрытия адрессов кода с RTL библиотеками,используемыми твоей программой.

| Сообщение посчитали полезным:

При помощи Hiew поменял IВ у двух DLL (из 23)...
И что? А ничего....

IDA начал анализ с того, что произвела rebase иследуемой DLL на новый адрес....
Втора загрузилась тоже Х... знает куда. Все имена во второй DLL слетели нафиг...

Может можно что-то подкрутить в самом EXE-шнике?

PS
Такое ощущения, что только я парюсь с анализом и отладной приложений состоящих из кучи DLL
А остальные либо этого не делают, либо юзают только 1 DLL-ку +((((((

| Сообщение посчитали полезным:

остальные это тоже делают. но дебажить .dll в данном случае предпочитают не в IDA

| Сообщение посчитали полезным:

ты неправильно делаешь. Надо в иду грузить DLL а в дебаггере указать exe в качестве хост-процесса. Тогда ида ее перебазирует, но результат дизасма останется. А ты пытаешься сохранить результаты дизасма дллки при работе в ида с exe-шкой - это неверный подход.

| Сообщение посчитали полезным:

infern0

я конечно понимаю, что многого ещё не понимаю, но, право, не настолько же....

Конечно, в качестве дизассемблируемого файла я беру file1.DLL и в project options указываю EXE.
C анализом file1.DLL проблем не возникает. Вся беда в том, что EXE использует не одну DLL, а 23...
Причём, практически в 95% случаев file1.DLL используется НЕ EXE-ом, а ДРУГИМИ DLL-ми.
Думаю не стоит объяснять что это значит и почему у меня теряется отладочная информация в этих ДРУГИХ (во ВСЕХ, кроме анализируемой) DLL.

Так как ПРАВИЛЬНО сделать, чтобы отладочная информация сохранялась как минимум в 2-х (ДВУХ) дллельках????

Кстати, Изменение IB DLL не вариант... В некоторых случаях (да что там скрывать почти всегда) изменённые DLL-ки по указанным адресам не загружаются. Ведь из много (23), а IB менялось только у 2-х +)

PS
Вариант с изменением IB у всех 23-х DLL, просьба, не предлагать +)

| Сообщение посчитали полезным:

еще раз - принцип работы ИДА состоит в том, что все твои комментарии, имена, etc будут сохранатся ТОЛЬКО для сегментов проги, которая была загружена изначально в ИДУ. Все что грузится дополнительно, грузится во временные сегменты и изменения сделанные там исчезнут при закрытии отладчика. is it clear ?
Что -бы сохранялись изменения сделанные во второй длл, грузи ее в ИДУ изначально. А на двух стульях одной задницей - это не в этом продукте

| Сообщение посчитали полезным:

infern0

Есть ли в IDA возможность загрузки необходимых DLL (не считая анализируемой) по требуемым адресам?
Возможно ли сохранять имена не по абсолютным адресам, а по смещениям относительно выбранного (например адреса загрузки некоторой DLL)?
Или, например, сохранять имена в некотором файле, а затем при загрузке накладывать их на необходимые адреса?

| Сообщение посчитали полезным:

теоретически - да, надо плагин написать. И вообще я не саппорт иды, просто ты не совсем понял как она работает и требуешь того что она в принципе не умеет. А все от того что изначально была неверно сформулирована проблема.

| Сообщение посчитали полезным:

infern0

Н-да...
Ответ достойный работника службы тех-поддержки....

PS
От ить как, если и были какие неясности с сабжем, то после твоих МЕГА разъяснений, они, кАнеШна развеялись...
Спасибо друг!!!

| Сообщение посчитали полезным:

тебе прямая дорога на www.idapro.ru/forum - скажи все что ты думаешь Ильфаку и выслушай в ответ много приятного, если ты незарегистрированнный пользователь

| Сообщение посчитали полезным: