Сейчас на форуме: -Sanchez- (+9 невидимых)

 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 21 . 22 . >>
Посл.ответ Сообщение


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 27 марта 2017 11:54
· Личное сообщение · #1

Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 26 декабря 2018 16:37
· Личное сообщение · #2

ильфак про люмию
Thank you for your kind words about Lumina. It is an experimental feature and we are happy to hear that you found it useful.

We did not publish the details about the hashes and metadata that is stored in the database because we have not settled down to a particular format that is definitely better than other formats. We need to experiment and discover what works and what does not.

So the information below is just to satisfy your curiosity; it may change any time without any notice; technicalities as well as policies may change.

We currently use just one big database for all processors. It is unlikely that the function bodies for different processors will accidentally match, so there is no need to separate them. IDA calculates a hash over the function body (naturally it has to exclude some variable bits) and sends it to Lumina. If Lumina has metadata associated with the hash, it responds with the metadata and IDA applies it to the database. We use plain simple MD5 because it is fast and produces reasonably short values. SHA-1/SHA-256 and similar hashes would be an overkill (it would at least double the consumed space without much benefit; as you already noticed there are already false positives but not because of MD5).

Given the nature of binary programs and our algorithms, there will be false positives, especially on short functions. However, long functions should be recognized reliably.

Currently we do not offer any incentives because it is difficult for us to measure user contributions. The biggest question is the quality of metadata. We can not rely on the volume of submissions because it is easy to upload junk metadata, which won't help others, or even would purposefully harm them. Also we can not measure the quality of metadata ourselves because we do not have the function bodies. I think the best approach would be to introduce something like karma or bonus points that can be attributed by the users who downloaded metadata and found it useful. For example, if Lumina found some matching metadata and the user successfully applied it to his database, he could vote for this metadata. Voting positively would increase the karma of to the metadata author. Voting negatively would decrease it. These karma or bonus points then would be converted into support extension, new licenses, etc. We need to work out the details but I hope that the idea is clear.

We do not have the logic described above but probably it a good idea to start uploading good metadata to Lumina. It may pay back later, especially if you manage to upload metadata for popular functions. Popular functions will be encountered in many binaries and many other users will benefit from your work.

We plan to improve Lumina and add other algorithms to match functions. Using microcode is one of the ideas that come into mind. As usual, execution is everything, so it will take some time. BTW, we are happy how Lumina works now: our implementation is simple but very robust. Currently we have a few hundred connections to it permanently and it handles all of them well, without glitches of any kind.




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 07 января 2019 06:32
· Личное сообщение · #3

удобная штука, может кому-нибудь сгодится:

If a process allocates a dynamic memory using VirtualAlloc, HeapAlloc, new, etc. and continues execution from that address, most of times, the memory address will be different for each different execution, it means that if we comment, rename variables or set breakpoints, nothing of this will be left in the next execution because the shellcode or code section will take a different memory address.

--> dumpDyn.py <--is IDAPython plugin(script) which saves comments, names, breakpoints, functions from one execution to another.

-----
Give me a HANDLE and I will move the Earth.


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 15 января 2019 09:32
· Личное сообщение · #4

Года три назад на иде 5.5 была проблема с "Sorry, this database has been created by a pirate version of IDA". Тогда я руками поправил.
Но помню mysterio говорил, что есть для этого дела patch.
A вот для версии 7.0 нет ли у кого такого же patch'a? A то руками и долго и нудно.

-----
Give me a HANDLE and I will move the Earth.


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 15 января 2019 09:42
· Личное сообщение · #5

plutos пишет:
A вот для версии 7.0 нет ли у кого такого же patch'a?
На том же руборде всегда подобное есть. А вообще недолго и ненудно:
Code:
  1. ida64.dll
  2. (#16CDEE): 90 90


-----
2 оттенка серого

| Сообщение посчитали полезным: plutos


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 15 января 2019 10:24 · Поправил: plutos
· Личное сообщение · #6

f13nd пишет:
На том же руборде всегда подобное есть

Ссылка есть?

Я люблю использовать уже готовое ибо во-первых, ленив, а во-вторых, зачем заново велосипед изобретать?
Ты же не будешь теорему Пифагора каждый раз выводить и доказывать по-новому?
Если кто-то уже сделал, протестировал, то зачем снова тратить время? Code reuse.
Опять же, если у меня есть готовый класс или функция, то не трать время, бери, пользуйся.
Жизнь коротка.
PS
А впрочем и правда легко, когда знаешь где и не надо искать. Поправил сам. Спасибо, Fiend!

-----
Give me a HANDLE and I will move the Earth.


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 15 января 2019 10:42
· Личное сообщение · #7

plutos пишет:
Ссылка есть?
--> Link <--
Я обычно таким напилингом-паялингом сам занимаюсь. Во-первых нетрудно, во-вторых с описанием самого патча вон бывают проблемы, быстрей сделать чем найти. Был бы дистрибутив, остальное приложится.

-----
2 оттенка серого


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 16 января 2019 04:01
· Личное сообщение · #8

--> Virtuailor<-- - IDAPython tool for C++ vtables reconstruction

Virtuailor is an IDAPython tool that reconstructs vtables for C++ code written for intel architechture and both 32bit and 64bit code. The tool constructed from 2 parts, static and dynamic.

The first is the static part, contains the following capabilities:
•Detects indirect calls.
•Hooks the value assignment of the indirect calls using conditional breakpoints (the hook code).

The second is the dynamic part, contains the following capabilities:
•Creates vtable structures.
•Rename functions and vtables addresses.
•Add structure offset to the assembly indirect calls.
•Add xref from indirect calls to their virtual functions(multiple xrefs).

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: =TS=

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

 Создано: 21 января 2019 22:09
· Личное сообщение · #9

Не завалялись у кого бинарники IDA Signsrch 1.4 (Updated to IDA SDK 6.8 version. Added a 64 bit "EA64" version)?



Ранг: 82.5 (постоянный), 1thx
Активность: 0.130.04
Статус: Участник

 Создано: 25 января 2019 18:33
· Личное сообщение · #10

А где взять сигнатуры делфи под иду, у меня ида делфи функции многие не распознает, idr на порядок больше делает. Вот как бы подгрузить в нее сигнатуры эти.



Ранг: 40.0 (посетитель), 1thx
Активность: 0.050.04
Статус: Участник

 Создано: 30 января 2019 14:53
· Личное сообщение · #11

Привет

Подскажите есть такая либа https://cloud.mail.ru/public/GvyW/Ly6vxSLdx

Вся в байтах. Как и есть ли плагины для ида что автоматом конвертировать все байты в либе в буквы? А еще лучше в слова сразу




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 31 января 2019 10:20
· Личное сообщение · #12

Пытаюсь наладить kernel debugging hypervisor'a с помощью windbg на ida 7.0, следуя вот этой статье:
https://www.securitylab.ru/contest/444112.php
В ней, в частности, говорится:
"После этого запустить 2 экземпляра IDA PRO, выбрать тип отладки KernelMode, указать в Process Option->Connection string следующие строки, полученные в результате выполнения вышеприведенных команд:

net:port=50002,Key=2ryd8m5mtthis.yomvgm0wtjzp.2ip83bg5uczdf.1ya73ieco8mhj – root-раздел
net:port=50000,Key=2hxy6pt2onihj.hfak67vz3rei.14kocxhm1ucio.2lhd41tj99oa2 -hypervisor

тем самым получив возможность одновременной отладки root-раздела и гипервизора."

Connection string имеются, затем в "Debug options" выбираю "kernel mode debugging", а что нужно указать в качестве "Application name"?

Или нужно обязательно открыть какую-нибудь программу, а потом уже переходить в kernel mode debugging?

-----
Give me a HANDLE and I will move the Earth.

Ранг: 112.9 (ветеран), 186thx
Активность: 0.090.01
Статус: Участник

 Создано: 03 февраля 2019 04:55
· Личное сообщение · #13

Подскажите плагин для парсинга MSVC RTTI




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 03 февраля 2019 05:07 · Поправил: plutos
· Личное сообщение · #14

IDA 7.0:
--> RTTI: new plugin for parsing RTTI (run-time type information) produced by MSVC, GCC and LLVM in PE, COFF and ELF files<--

или:

--> RTTI Parsing IDA plugin<--
•Handles RTTI and C++ name demangling for:
◦X86 GCC
◦X86 MSVC
◦X64 GCC
◦X64 MSVC

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: vden, mak


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 06 февраля 2019 06:35
· Личное сообщение · #15

Ilfak Guilfanov Retweeted Corellium
Yes, we plan to release a beta version of OSX/iOS kernel debugging very soon (this week normally)


If you have a current IDA license and would like to participate in a beta of the new IDA kernel debugging feature using Corellium send us a DM. (to Corellium @CorelliumHQ)

-----
Give me a HANDLE and I will move the Earth.


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 10 февраля 2019 05:35
· Личное сообщение · #16

--> idenLib - Library Function Identification<--

When analyzing malware or 3rd party software, it's challenging to identify statically linked libraries and to understand what a function from the library is doing.

idenLib.exe is a tool for generating library signatures from .lib files.

idenLib.dp32 is a x32dbg plugin to identify library functions.

idenLib.py is an IDA Pro plugin to identify library functions.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: mak, VOLKOFF, =TS=

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

 Создано: 11 февраля 2019 21:51
· Личное сообщение · #17

plutos пишет:
idenLib

Только что добавили поддержку х64, вот теперь можно и посмотреть




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 19 февраля 2019 11:57 · Поправил: plutos
· Личное сообщение · #18

Короткое видео - 14 минут:

--> Setting up IDA to analyze the ARM firmware<--

-----
Give me a HANDLE and I will move the Earth.


Ранг: 44.2 (посетитель), 69thx
Активность: 0.140.02
Статус: Участник

 Создано: 04 марта 2019 21:39
· Личное сообщение · #19

ну что, прощай идаv2.0 https://redasm.io/, бгг

| Сообщение посчитали полезным: plutos, mak


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 04 марта 2019 21:49
· Личное сообщение · #20

specz пишет:
прощай идаv2.0

не надо печалиться! монополия - плохо, а конкуренция это всегда хорошо, потребитель выигрывает.

-----
Give me a HANDLE and I will move the Earth.


Ранг: 69.9 (постоянный), 81thx
Активность: 0.140.73
Статус: Участник

 Создано: 04 марта 2019 23:46
· Личное сообщение · #21

Так а кто юзал этот redasm? Стоящее что-то?
А монополии давно нет, наверное. Есть же и радаре (хоть и ругают его, но кое что он может), и от АНБ была какая-то поделка, и еще какие-то менее популярные вещи. Просто что ида это как стандарт, к сожалению. Как винда или машина лада, где люди матерятся, ругают, но все же юзают.



Ранг: 50.0 (постоянный), 31thx
Активность: 0.090.1
Статус: Участник

 Создано: 04 марта 2019 23:52
· Личное сообщение · #22

morgot пишет:
от АНБ была какая-то поделка
в паблике?
поподробней плиз




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 05 марта 2019 00:29 · Поправил: reversecode
· Личное сообщение · #23

Представят на конфе РСА с 4-7 марта 19 года
ждем
https://news.ycombinator.com/item?id=18828083
https://www.rsaconference.com/events/us19/agenda/sessions/16608-Come-Get-Your-Free-NSA-Reverse-Engineering-Tool
5 марта представят на конфе

лучше почитать как малолетних хакеров разводят
https://www.linkedin.com/pulse/100000year-you-can-solve-reverse-engineering-test-john-coates/




Ранг: 69.9 (постоянный), 81thx
Активность: 0.140.73
Статус: Участник

 Создано: 05 марта 2019 00:31
· Личное сообщение · #24

spinz
я лишь новости помню на эту тему, сам инструмент в руках не держал. Что выложили или выложат чего-то там, чем пользуются в АНБ.

Кстати, посмотрел бегло этот redasm. Интересная вещь, портабл (мне лично так удобней), быстро открывает файлы, дизайн приятный. Из минусов, наверное, можно выделить отсутствие поддержки питухона (или я не нашел как, но вроде таки нет). Соответственно, комьюнити не поддержит.




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 05 марта 2019 00:55
· Личное сообщение · #25

Я где-то линк давал на пдф из архива сноудена, где скрин предположительно гидры. Тоже в ожиданиях когда же эту вундервафлю покажут.

-----
2 оттенка серого


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 05 марта 2019 10:52 · Поправил: reversecode
· Личное сообщение · #26

https://old.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/

https://www.nsa.gov/resources/everyone/ghidra/
ждем
отдельный сайт да, но хотел показать что официальный реф с сайта нса




Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

 Создано: 05 марта 2019 11:18
· Личное сообщение · #27

Вроде как запилили отдельный сайт для релиза - https://ghidra-sre.org/

-----
127.0.0.1, sweet 127.0.0.1


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 05 марта 2019 22:53 · Поправил: plutos
· Личное сообщение · #28

OKOB пишет:
отдельный сайт для релиза - https://ghidra-sre.org/

Там на logo, где гидра изрыгает нули и единицы, если внимательно присмотреться, то это не просто так, а бинарный код, который при переводе в ASCII дает "Hello World!"

наверное можно было бы придумать что-нибудь и покруче, но традиция есть традиция.

-----
Give me a HANDLE and I will move the Earth.


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 06 марта 2019 03:14 · Поправил: f13nd
· Личное сообщение · #29

Свершилось, качайте
Ээх...
Code:
  1. 6502
  2. 68000
  3. 6805
  4. 8051
  5. 8085
  6. AARCH64
  7. ARM
  8. Atmel
  9. CR16
  10. DATA
  11. JVM
  12. MIPS
  13. PA-RISC
  14. PIC
  15. PowerPC
  16. Sparc
  17. TI_MSP430
  18. Toy
  19. x86
  20. Z80


-----
2 оттенка серого


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 06 марта 2019 03:55
· Личное сообщение · #30

шлак
теперь понятно почему открыли
ида рвет ее

| Сообщение посчитали полезным: sty


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 06 марта 2019 04:12
· Личное сообщение · #31

reversecode пишет:
теперь понятно почему открыли
американские налогоплательщики аналог иды не потянули.

-----
2 оттенка серого

| Сообщение посчитали полезным: sty
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 ... 21 . 22 . >>
 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати