Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

--> QScripts<-- – IDA Scripting productivity tool

QScripts is a productivity tool that helps IDA users speed up their scripts development.
With QScripts, you will be able to develop your scripts in your favorite text editor, save the script and see the results in IDA.

Кому интересно, берем --> здесь<--.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> HeapViewer<--

An IDA Pro plugin to examine the heap, focused on exploit development.

Currently supports the glibc malloc implementation (ptmalloc2).

3rd place winner of the 2018 Hex-Rays Plugin Contest

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Keksov

plutos

> to examine the heap, focused on exploit development.

Куча(heap) реализована фундаментально с защитой от атак. Там любое событие может логгироваться, есть и отладочные механизмы(страничный механизм выделения памяти) и есчо много всего прочего. А есчо на это всё может быть натянут системный верифер, основная задача которого и следить за хипом. И эти все механизмы управляются опциями, которые доступны. Для этого какой то левый тулз не нужен.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Для этого какой то левый тулз не нужен.

Пожалуйста, все претензии, просьбы, пожелания, возмущения => к автору: Daniel García Gutiérrez - @danigargu
или через github.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

hash87szf пишет:
GetDebuggerEvent(WFNE_SUSP, 1)
GetDebuggerEvent(WFNE_SUSP, -1)

И 1, и -1 вешают дебаггер одинаково. Вообще никакое событие не приходит

-----
IZ.RU

| Сообщение посчитали полезным:

а как ваш остальной кодес выглядит? так то он зацилклился но останове и таво

репро:
1.я брякнулся
2.поставил бряк чуть ниже
3.файл - скрипт файл
4.бряк хит и инфинит луп

баферы видать флашить надо

| Сообщение посчитали полезным:

hash87szf, плохо понимать ваш французский )

step_until_ret() для останова по выходу из функции...

-----
IZ.RU

| Сообщение посчитали полезным:

может это мне не ясно чё надо то? шо ваш скрипт делает?
имхо да он как сказано остановился и зациклился в бесконечности...
мну евенты приходят
ну и как всегда 'ida pro book'...

| Сообщение посчитали полезным:

Всего лишь на точке останова выходит из процедуры и меняет значение rax с 1 на 0

Первоначальный скрипт был такой


Зависает. Вот и решил выяснить, в чём дело. Из GetDebuggerEvent() не выходит

-----
IZ.RU

| Сообщение посчитали полезным:

hash87szf

Используй нормальный отладчик, какая есчо ида. Это какой то изврат имхо, что же ты этой кривой хнёй собрался отлаживать. Думаешь скрипты помогут решать задачи отладки - ошибка. Ты этим инструментом даже те семплы что я смотрел твои не отладишь.

-----
vx

| Сообщение посчитали полезным:

Хоть и не ко мне обращение - да ну кто ж знал, что он не совсем нормальный. До сих пор не подводил

Добавлено спустя 38 минут
Вау, на ida 7.0 скрипт нормально работает, ничего не зависает

-----
IZ.RU

| Сообщение посчитали полезным:

fn_fuzzy: Fast Multiple --> Binary Diffing Triage with IDA<--

На сайте есть подробное описание этого инструмента, как им пользоваться (с примерами), так что не буду здесь дублировать. Инструмент новый, сильно пока его не использовал, но похоже, что тем, кто сталкивался с проблемами, которые он призван решать, будет очень полезен.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> dsync <--

IDAPython plugin that synchronizes decompiled and disassembled code views.

Please refer to comments in source code for more details.

Requires 7.2

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> IDAPython loader <--to help with iBoot64 reverse engineering

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
fn_fuzzy
Wrap-up
In this article, TAU described how to use fn_fuzzy, a fast and lightweight function-level binary diffing tool. fn_fuzzy focuses on a fast triage for large sets of IDBs and depends on just two kinds of fuzzy hash values (ssdeep and Machoc) to detect similarities, thus the accuracy is not as good as BinDiff and Diaphora. TAU recommends to utilize fn_fuzzy to narrow down the most similar and analyzed IDBs before the one-on-one diffing.

rolleyes, avery

| Сообщение посчитали полезным:

hash87szf пишет:
rolleyes, avery

спасибо за дельный, толковый анализ! (Сарказм!)
я ссылку выложил для ознакомления и возможного обсуждения статьи по существу, а человек скопировал из нее три строчки и ... закатил глаза, типа "нет слов!".

И, кстати: не "rolleyes", a "roll eyes". Но это ведь не грубая ошибка.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> HRDevHelper<--

HexRays decompiler plugin that visualizes the ctree of decompiled functions.

This plugin for the HexRays decompiler creates a graph of a decompiled function using IDA's internal graph viewer. It zooms in on the graph view to 100%, attaches it to the currently active decompiler window and sets the focus on the item that the decompiler view's cursor points to.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: dma, mak

--> MrsPicky <--
An IDAPython decompiler script that helps auditing calls to the memcpy(dst, src, n) and memmove(dsr, c, n) functions.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> IDA Skins <--
Plugin providing advanced skinning support for IDA Pro utilizing Qt stylesheets, similar to CSS.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

можно как то сделать что бы hexrays
вместо

показывал

?

| Сообщение посчитали полезным:

плагин писать или с питоном упражняться

| Сообщение посчитали полезным:

genmc - --> Display Hex-Rays Microcode <--

genmc is an IDAPython script/plugin hybrid that displays Hexrays decompiler microcode, which can help in developing microcode plugins.

By running the code as a script within IDA, a Python shell command becomes available which, after typing "install_plugin()", copies the script to $HOME/.idapro/plugins or %APPDATA%Hex-Rays/IDA Pro/plugins.

With the script installed into the plugins folder, it can be invoked from the plugins menu or by using the hotkey 'Ctrl-Shift-M'.

IDA and decompilers >= 7.3 are required.


-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> VSCODE DARK <-- theme for IDA 7.3

This is a theme package for IDA 7.3.
It was adapted from the VSCode theme in --> IDASkins <--.

Оно, конечно, без IDA 7.3 так же нужно, как зайцу стоп-сигнал, но так сказать, "в ожидании лучшего"...
А вдруг пригодится в будущем!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

IDA 7.3: --> CSS-based styling tutorial <--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
hash87szf пишет:
rolleyes, avery

спасибо за дельный, толковый анализ! (Сарказм!)
я ссылку выложил для ознакомления и возможного обсуждения статьи по существу, а человек скопировал из нее три строчки и ... закатил глаза, типа "нет слов!".

И, кстати: не "rolleyes", a "roll eyes". Но это ведь не грубая ошибка.

лолшо, ты сам тот гавно-статья читал? я самый важный момент - который спрятам под тонной высера - нашёл и цитировал! шо эта подделка хуйня хуже всего

| Сообщение посчитали полезным:

https://devco.re/blog/2019/06/21/operation-crack-hacking-IDA-Pro-installer-PRNG-from-an-unusual-way-en/
кто там инсталлер того димы молдавана скачивал)))

| Сообщение посчитали полезным: plutos, mak

Jan 31, 2019 - Report to Hex-Rays
Feb 01, 2019 - Hex-Rays promised to harden the installation password and reported to BitRock
Feb 11, 2019 - BitRock released InstallBuilder 19.2.0

Т.е. Hex-Rays уже принял меры и нужен старый инсталлер (димы молдавана)?
а ссылки на него нет?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Т.е. Hex-Rays уже принял меры и нужен старый инсталлер (димы молдавана)?
а ссылки нет?

Полный комплект 7.2 версии от Димона


-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: plutos, dma

reversecode пишет:
https://devco.re/blog/2019/06/21/operation-crack-hacking-IDA-Pro-installer-PRNG-from-an-unusual-way-en/
кто там инсталлер того димы молдавана скачивал)))
для страждующих нашли подходячий генератор чисел на языке perl, на других языках работать не будет ,другой ген чисел)))

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
для страждующих нашли подходячий генератор чисел на языке perl, на других языках работать не будет ,другой ген чисел)))

Из исходников Perl по ссылке - --> Link <--

Perl relies on the underlying system for the implementation of C<rand> and C<srand>; on some systems, the generated numbers are not random enough (especially on Windows : see L<http://www.perlmonks.org/?node_id=803632>). Several CPAN modules in the C<Math> namespace implement better pseudorandom generators; see for example L<Math::Random::MT> ("Mersenne Twister", fast), or L<Math::TrulyRandom> (uses the imperfections in the system's timer to generate random numbers, which is rather slow).
More algorithms for random numbers are described in "Numerical Recipes in C" at L<http://www.nr.com/>

Random numbers are not random enough on Windows
--> Link <--

Perl's rand uses the C run time rand provided by the compiler. Often such pseudo-random number generators perform very poorly and the Microsoft one provided by the compiler used to build ActiveState's Perl offering is a case in point. However, it's a problem that is easily fixed. Just use Math::Random::MT qw(srand rand); and the problem goes away regardless of how your Perl was built.

Старый брут для мотивации на Делфи можно скачать ниже .. Новая тема, попытка адаптации под новые версии на board4all - InnoBf recompiled - --> Link <--

0df9_22.06.2019_EXELAB.rU.tgz - InnoBF.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: