Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

ActiveState Perl

12 LXa3kW3q8sjT в версии 5.16
12 FgVQyXZY2XFk в версии 5.28

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Задолбала автофункция кеширования функций и строк. Из-за того, что мои бинарники велики, рабочее окно Иды подвисает на несколько минут. Как отключить это, кто знает? В настройках не нашёл.

| Сообщение посчитали полезным:

случайно ни у кого не завалялся pin-3.7-97619?
На сайте интел недоступны старые версии. Нужна папка source.
п.с. конечная цель собрать из исходников пару плагинов (CodeCoverage и idadbg). Один работает под 3.7, второй под 3.2. Хотелось бы собрать их под 3.10 или хотя бы под одну версию pin..

| Сообщение посчитали полезным:

parfetka

--> Link <--

-----
vx

| Сообщение посчитали полезным: parfetka

https://old.reddit.com/r/ReverseEngineering/comments/c51gan/hexext_for_ida_70_a_plugin_to_improve_hexrays/

| Сообщение посчитали полезным:

https://forum.reverse4you.org/t/hexext-a-plugin-for-extending-hexrays-7-0-via-microcode/10631

| Сообщение посчитали полезным:

Thumbs Up successfully enhances IDA’s analysis to a level in which --> Karta <-- can be used to achieve near optimal results (96% when compared to the manual analysis).




-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

reversecode пишет:
https://old.reddit.com/r/ReverseEngineering/comments/c51gan/hexext_for_ida_70_a_plugin_to_improve_hexrays/

Устанавливаем плагин, открываем hexrays.dll, ида падает каждый раз с дампом памяти

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
Устанавливаем плагин, открываем hexrays.dll, ида падает каждый раз с дампом памяти

автор plugin'a обещает со временем выложить source code для публичного пользования, но если кто не хочет ждать, то он предлагает прямо сейчас, надо только послать ему запрос.
Правда предупреждает, что код нужно еще чистить и приводить в порядок...
Так что если кому охота покопаться.... или можно ему все вопросы в комментариях к его посту.
вот --> сюда <--, по ссылке Dart Raiden'a (see above).

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

IDAPython plugin that synchronizes disassembler and decompiler views

В 7.3 такую фичу встроили в иду "из коробки".

| Сообщение посчитали полезным:

Dart Raiden осталось только прикрутить подсветку текущей позиции (темнее цвет), да и мне кажется если наблюдать внимательно, то фича в 7.3 попизже будет.

Добавлено спустя 6 часов 15 минут
Если кому нужны сорцы hexext https://mir.cr/AZEOJOCC

| Сообщение посчитали полезным: reversecode

а я то думаю что там за треш такой
а чувак оказывается некоторые функции из рейса реверснул(ас ис) и в плагин встроил

синхронизация псевдокода в 7.3 имеет некий сайд эффект и не поддерживает просмотр оригинального кода при наведении на аргументы
так что плагин питона под 7.2 более приятный

Добавлено спустя 3 минуты
https://github.com/patois/dsync
я про этот синхро

| Сообщение посчитали полезным:

Nihil enim пишет:
Если кому нужны сорцы hexext https://mir.cr/AZEOJOCC
а почему там microcode_sliding_window_0643686542.exe file в архиве?
я ожидал увидеть .срр, hpp, ну сорцы одним словом.
Может я чего не то скачал? а то как-то страшновато этот exe запускать даже под vm.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

потому что плутос давно на под надзором фсб и фбр, интерпола
и ему подсовывают трояна
для всех других там зип архив с сорсами

| Сообщение посчитали полезным:

reversecode пишет:
потому что плутос давно на под надзором фсб и фбр, интерпола

да это-то я знаю, вон три мини van'a который день под окном дежурят.
Причем сразу и не догадаешься: на одном написано "ФСБ", на другом "FBI", на третьем - "Interpol".

Так что перезалейте, кому не лень, куда-нибудь, а я буду отдельно благодарен!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

https://drive.google.com/file/d/1szOzbCJyONeue3W6fPQHaUM8vIwQ5664/view?usp=drivesdk
сорцы hexext

| Сообщение посчитали полезным: plutos

awlost выше выкладывал

| Сообщение посчитали полезным:

Nihil enim пишет:
выше выкладывал

он перезалил по моей просьбе на другой файлообменник.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

по оригинальной ссылке, на выбор 16 ФО
т.е. ту ссылку что выложили в нее уже входит

может плутосу пора уже сдаться властям ?

| Сообщение посчитали полезным:

plutos пишет:
а почему там microcode_sliding_window_0643686542.exe file в архиве?
Хм. Нет там никакого .exe...

| Сообщение посчитали полезным:

reversecode пишет:
может плутосу пора уже сдаться властям ?

Ув. тов. Кашпировский! У меня на столе, пляшут маленькие зелененькие человечки, но мой друг их не видит. Верните человеку зренье.

| Сообщение посчитали полезным:

reversecode пишет:
может плутосу пора уже сдаться властям ?
все, иду сдаваться, но и тебя за собой потяну!
А если серьезно, то при попытке скачать zip archive, эти говенные обменники пытаются установить кучу всякого дерьма и подсовывают разные exe.
С третьего раза у меня наконец появился нужный архив.
Так что все нормально, господа, успокойтесь, никто не умер и не заболел.
Просто произошло недоразумение.
Всем спасибо! особенно reversecode (I love you too, brother!)!
Отбой!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

я из нескольких броузеров пытался скачать этот самый заветный exe
у меня никак не получается его скачать
постоянно zip качается
что надо сделать что бы скачался екзе ?

| Сообщение посчитали полезным:

reversecode пишет:
постоянно zip качается

да у меня тоже зип качался, да только в нем было не то,что нужно, потому и спросил.

Все, проехали уже или тебе все неймется доказать, что я дурак?
Хорошо, согласен, признаю, чтобы прекратить этот пустой разговор: ты начальник, я - дурак.
Happy now?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos, ну reversecode же шутит - причем по-доброму. Это же "видно" даже "невооруженным глазом". Тут не обижаться нужно, а подыграть? Первый примитивный образец ответа, который приходит в голову: reversecode - просто ты неудачник. И проблема бы решилась сама собой. Извиняюсь, конечно, за свое нравоучение, но как-то неприятно, когда сильные сайта сего, как я вас называю, - ссорятся между собой.

| Сообщение посчитали полезным:

dma пишет:
ну reversecode же шутит - причем по-доброму

дак ведь и я шучу: что ж я себя всерьез дураком стал бы называть?
Так что ты, кормилец, не тревожь себя по-напрасну: мы уж как нибудь сами разберемся между собой.

Добавлено спустя 3 часа 2 минуты
--> IDAPyHelper <-- is a script for the Interactive Disassembler that helps writing IDAPython scripts and plugins.

It does so by acquiring all names accessible via IDAPython and makes them available in a browsable list that can be sorted, scanned (Alt-T) and filtered (Ctrl-F) arbitrarily.
Double clicking a list entry opens a separate view that displays the entry's docstring, if available.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> HexRaysDeob <-- for APT10 ANEL
Hex-Rays microcode API plugin for breaking an obfuscating compiler

This is a forked repository of HexRaysDeob for defeating APT10 ANEL code obfuscations.
(forked from RolfRolles/HexRaysDeob )

This plugin supports IDA 7.3 only.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> Flirting With IDA and APT28 <--

This document shares a methodology used to develop Hex-Rays' Interactive Disassembler (IDA) signatures created as part of pre-analysis for a recently published APT28 sample.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

В ida можно подобное https://www.pnfsoftware.com/blog/debugging-dynamically-loaded-dex-files-with-jeb/ повторить ? Интересует дебаг динамически подгружаемых dex файлов ?

| Сообщение посчитали полезным:

--> flare-emu <-- marries IDA Pro’s binary analysis capabilities with Unicorn’s emulation framework to provide the user with an easy to use and flexible interface for scripting emulation tasks.
It is designed to handle all the housekeeping of setting up a flexible and robust emulator for its supported architectures so that you can focus on solving your code analysis problems.
Currently, flare-emu supports the x86, x86_64, ARM, and ARM64 architectures.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: