Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

mazaxaker пишет:
А на эмуляторе с правами рут никак не отключить?
На эмуляторе не пробовал - он тормозной, на реальном железе (ессно с рутом) - не срабатывает.

| Сообщение посчитали полезным:

Apokrif пишет:
он тормозной
Я ставил на генимотион девайс sony xperia 4.1.2, довольно быстро стартует и не тормозит. Заметил там сильно тормозят всякие нексусы, гуглы и чем выше андроид тем сильнее торомзить начинает.

| Сообщение посчитали полезным:

Здраствуйте.

HexRays SDK использует кто?
интересует формат структуры mbl_array_t

| Сообщение посчитали полезным:

формат закрыт
там только форвард декларация типа

| Сообщение посчитали полезным:

Понятно. Думал, мало ли )

Тогда как получить значение (ea_t), если ctree_visitor_t::visit_expr(cexpr_t *e)
e->op == cot_ref или cot_cast ?

в таком случае у нас имеет место быть var_ref_t v:
struct var_ref_t
{
mbl_array_t *mba; ///< pointer to the underlying micro array
int idx;
}

и что с этим делать?
сам плагин ведь берет где-то значения, в частности адрес

| Сообщение посчитали полезным:

гугл коде екслоера
--> Link <--


| Сообщение посчитали полезным:

https://www.hex-rays.com/products/decompiler/manual/sdk/classmbl__array__t.shtml#details

| Сообщение посчитали полезным:

sendersu сgасибо, видел все это уже
Ситуация похожа на lexer_t - тоже фиг вам opaque, а не описание.

В свое время, чтобы доработать лексер до распознавания шаблонных типов, пришлось реверсить и патчить
(а заодно и чудовищную UD)

reversecode, и это видел. Не работает этот код

Прошу прощения. Все работает. Fast LTCG - опасная вещь.
Полностью пересобрал - все кастуется ( cexpr_t = cexpr_t->x (ну или y/z)

офтоп:
но это никак не отменяет того факта, что формат микрокода закрыт.
Если посмотреть внутрь плагина hexrays.plw, то начиная с void *hexdsp_t(int code, ...);
там (на мой взгляд) треш и угар в плане обработчиков (ну 1 в 1 в лексером).
Отсюда вывод - не открывают формат не потому что коммерческая тайна и все такое, а просто стыдно чтоли такое показывать.

| Сообщение посчитали полезным:

что именно не работает ?
плагин по ссылке не работает ?

Добавлено спустя 15 часов 22 минуты
void *hexdsp_t(int code, ...);
что именно там треш и угар ? конкретно ?
микрокод закрыт потому
1) он там действительно постоянно меняется, а ильфак очень консервативен, если открывать то только то что на 100% останется таким как есть
2) как только откроют микрокод, рейсу хана, реверс сразу же будет на 100% done

| Сообщение посчитали полезным:

reversecode, а как добавить в ида к dbgserver символы андроид либ, чтобы при отладке имена их функций показывались ?

| Сообщение посчитали полезным:

скриншот что вы там отлаживаете
виртуал функции или статик ?

| Сообщение посчитали полезным:

Всем привет

Кто не будь пользуется или пользовался этим вот плагином для IDA https://www.youtube.com/watch?v=kNK48VfMVqg

Для какой версии IDA он подходит? Я видел что под видео написано
THUMB Decompiler plugin for IDA Pro 6.1

Но у меня на 61 нет его в списке плагинов а снизу вот что пишет https://cloud.mail.ru/public/HCQJ/JcuwyjDp7

Толи я не то скачал что надо может кто дать нормальный плагин? decomp.dll и armludde.plw из папки с плагином я кидаю сюда https://cloud.mail.ru/public/4bQk/ddwUYtoV4 как и обычно

| Сообщение посчитали полезным:

а зачем он нужен ? декомпилятор для АРМ и так есть в последней утекшей версии ИДА

| Сообщение посчитали полезным: sss123

reversecode
Да так просто хотел установить этот плагин что б был )))) Я его ранее ставил и он работал да я забыл просто как я его ставил и на какую версию ида

А еще вопросик можете подсказать плагины для ида для сравнения файлов кроме бин дифа
Бин дифф у меня почему то не ставится вот чего пишет https://cloud.mail.ru/public/9WqZ/5bV3AUcx4 у вас не было такого?

Про то что есть плагин бин дифф для ида я в курсе но хотелось бы узнать есть ли еще подобные плагины?

| Сообщение посчитали полезным:

цель установить какойто арм декомпилер что бы было ? странная цель
если бы дествительно он нужен был(декомпилятор) то быстро бы нашли самый свежый

диф плагинов ? вагон и маленькая тележка плагинов
гугл ими забит, пробовали искать ?
к примеру --> Link <--

Добавлено спустя 1 минуту
еще
--> Link <--

| Сообщение посчитали полезным:

Ребята, а как в ида менять значения регистров далвика ? Хотел через дамп, к примеру, найти значение регистра v1, но как правильно адрес их определять, думал так (int)v1 в watch view, но выдает явно не то.
Еще можно как-то бряк на чтение поставить какой-нибудь переменной класса в далвике ?

| Сообщение посчитали полезным:

И вот еще странный баг, если ставить массово бряки через меню function windows, то они ставятся, но оказываются отключенными после запуска проги все оранжевые. Если руками переставить, то начинают работать.
Как бы массово ставить их, чтобы не отключались при старте ? Оранжевый цвет их это ведь тоже отключено как и зеленый ?

| Сообщение посчитали полезным:

Оранжевый значит "хотела поставить, но не шмогла". А почему - хз.

| Сообщение посчитали полезным:

reverser, она почему-то ставит read-write бряки через меню списка функций, а если именно в коде ставлю бряк, то нормально на исполнение ставится. Почему так не пойму.

| Сообщение посчитали полезным:

mazaxaker, ну скрипт напиши, чтоб ставились бряки именно в коде на каждой функе.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder, так и сделал, сгенерил idc скрипт средствами иды и поменял тип бряка автозаменой.
Но еще интересует как менять значения регистров при отладке далвика, я смотрю они не меняются. Еще почему-то в далфике дебаге нет опции перетащить выполнение на другую команду, типа как при отладке виндовых прог опция set eip.

| Сообщение посчитали полезным:

mazaxaker пишет:
Но еще интересует как менять значения регистров при отладке далвика
пытались это понять для 6.8 - оно есть, но не работает

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
оно есть, но не работает
Я пробовал через watch view выяснить адрес регистра так (int)v1, но выдает число, которое больше чем адреса в hex дампе, думал по адресу в дампе править.

| Сообщение посчитали полезным:

А есть функции из idc. По описанию то самое, что надо для этого, но не работает.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder, я смотрю там тока получать данные, инструкций вида *set* не нашел.

| Сообщение посчитали полезным:

При установке IDA 6.8 в win7 не читается плагин python.plw.
Ида пишет 'C:\Program Files\IDA 6.8\plugins\python.plw: can't load file'.
Установку делал по умолчанию, ничего в настройках не менял.
Внизу окна вместо строки Python стоит IDC.
В папке плагинов искомый python.plw есть - он установился с самого начала,
но не видится.
В winXP этот же пакет встаёт без всяких выкрутасов: строка Python имеется.
Может кто подскажет в этой связи?

| Сообщение посчитали полезным: Scor

ksol
https://www.sendspace.com/file/6sa26f

| Сообщение посчитали полезным:

ksol пишет:
При установке IDA 6.8 в win7 не читается плагин python.plw.
У меня на Win7 x64 всё поставилось нормально. Не в самой оси, значит, дело. Возможные причины - сборка/не сборка, компоненты

-----
IZ.RU

| Сообщение посчитали полезным:

Переустановил - всё встало нормально. На пришедший вместе с Идой Python 2.7.6
устанавливается фреймворк keystone, а Ида спокойно принимает плагин keypatch.py.
Но это всё в win7. Хотел это же сделать в winXP, но ни в какую! Здесь keystone
не встаёт нормально в Питон.

| Сообщение посчитали полезным: