Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

--> Windows Driver Plugin <--
An IDA Pro plugin to help when working with IOCTL codes or reversing Windows drivers.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Что значит _pair_ ?
xref на эту "функцию" нет. Бинарник, походу, написан на С++, т.к. в коде присутствует this.

| Сообщение посчитали полезным:

morgot, оно?

| Сообщение посчитали полезным: plutos, morgot

Adler
да, спасибо, это оно,судя по всему seems to be a macro that computes an unsigned long value from its two arguments, which it interprets as containing the high and low bits of that value.
В коде это LARGE_INTEGER, и там софт работает с обеими частями.

| Сообщение посчитали полезным:

Коллеги приветствую.
Подскажите, а существует ли в природе плагин, который в окошке вывода результата декомпиляции умеет сворачивать произвольные участки кода, как это делает встроенная ф-ия Collapse Item (Numpad+-)

Утомительно анализировать большие ф-ии ( 60+ кб, 2000+ строк)

Спасибо.

| Сообщение посчитали полезным:

awlost пишет:
Подскажите, а существует ли в природе плагин, который в окошке вывода результата декомпиляции умеет сворачивать произвольные участки кода, как это делает встроенная ф-ия Collapse Item (Numpad+-)

Наверное не совсем то (а может и совсем не то), но есть функция:
"Unhide collapsed items automatically when jumping to them"
(Browser tab of IDA's Options window, check box).
То может где-то есть и обратное? Если найду, сообщу.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

это про свернутый код в окне дизасма. в декомпиле нельзя свернуть, насколько я знаю. но было бы неплохо сделать поддержку регионов, да. и желательно древовидных.

-----
старый пень

| Сообщение посчитали полезным:

IDA Pro plugin (--> HexRaysPyTools <--) improves working with HexRays decompiler and helps in process of reconstruction structures and classes

The plugin assists in the creation of classes/structures and detection of virtual tables.
It also facilitates transforming decompiler output faster and allows to do some stuff which is otherwise impossible.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

r_e пишет:
в декомпиле нельзя свернуть, насколько я знаю
кое-что можно

| Сообщение посчитали полезным:

--> IDA+Triton <-- plugin in order to extract opaque predicates where their computation is local to a single basic block using a Forward-Bounded DSE.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

IDA Pro plugin to manage classes --> CLASSY <--


Warning by the author of the plugin: Bugs might and probably are everywhere.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: =TS=

Introduction to --> WinDbg2IDA <--
Windbg2ida lets you dump each step (instruction) in WinDbg then give you a dump file
and you can use it later in your IDA to put color on each line of the instructions that you've run to show code coverage.



-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
все ваши посты относятся к IDA>7.0?
в частности, последний пост (WinDbg2IDA) не заведётся на Win7, потому что у windbg нет jsprovider.dll? То есть, нужна Win10 и последний windbg?

| Сообщение посчитали полезным:

parfetka пишет:
все ваши посты относятся к IDA>7.0?

Как правило, чем новее tool, тем более вероятно, что он для IDA 7.2. Aвторы на гитхабе оговаривают, если есть ограничения.
Но не ошибешься, если установлены самые свежие версии и WinDbg и Windows SDK.

в частности, последний пост (WinDbg2IDA) не заведётся на Win7, потому что у windbg нет jsprovider.dll? То есть, нужна Win10 и последний windbg?

Если вы про это:

Important note : If you can't load the script or the script gives you error about using files then make sure to update you windbg (Windows SDK) to the latest version as the previous versions have problem with using file with JavaScript.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
да, про это. В "старых" версиях WinDbg нет файла jsprovider.dll, необходимого для загрузки JavaScript. А новые, кажется, на Win7 не устанавливаются, только на Win10? Вот и спрашиваю, есть ли возможность заценить WinDbg2IDA на Win7 не устанавливая Win10?

| Сообщение посчитали полезным:

parfetka пишет:
есть ли возможность заценить WinDbg2IDA на Win7 не устанавливая Win10?

я не пробовал на win 7
Согласно Microsoft:


Поэтому самая простая схема: Windows 10 + WinDbg Preview.

Если установка Windows 10 невозможна по каким-либо причинам, попробуйте
Windows 7 + последяя версия Windows SDK (C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\jsprovider.dll) + WinDbg (обычная версия, не preview).

Т.е. на Windows 7 возможно будет работать, но с последней версие SDK, который содержит jsprovider.dll.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: parfetka

Интересно, кто-нибудь пользуется в Иде 7.2 32-х битным декомпилятором (хексрейс, который) от Иды 7.0? Почему спрашиваю? Работает криво. Т.е. в Иде 7.0 - все нормально, а вот в Иде 7.2 с декомпилем от Иды 7.0 - результаты не впечатляют. Похоже, Ильфак обошелся с халявщиками не по-товарищески. Так-то, вроде, и не страшно, можно и в 7-й Иде работать, но вот хотелось бы чтоб плагины Dsync и hexext можно было использовать.

| Сообщение посчитали полезным:

sty пишет:
Работает криво. Т.е. в Иде 7.0 - все нормально, а вот в Иде 7.2 с декомпилем от Иды 7.0 - результаты не впечатляют.

Не могли бы Вы привести конкретные примеры для версий 7.0 и 7.2? и что именно "не впечатляет"?
Любопытно было бы взглянуть и сравнить.
Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: ambro83

plutos пишет:
Любопытно было бы взглянуть и сравнить.
Заранее спасибо!

Эх, plutos, чтоб вы без меня делали? Так бы и работали на "кривой" Иде.
Между прочим - зря смеетесь. У меня есть факты, а у вас не будет, чем их опровергнуть.

--> Link <--

| Сообщение посчитали полезным: mak

sty
Так их прикручивали от иды 7.0 не удивительно что что то не так)))

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

если ниже посмотреть, то нормальный там код, просто декомпиль затупил на CASE statement, вопрос почему ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: plutos

IDA loader for Apple SecureROM --> srom64helper <--

Installation:
Copy srom64helper.py to the loaders folder in IDA directory.

srom64helper is based on argp's --> iBoot64helper <--:
IDAPython loader to help with iBoot64 reverse engineering

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Думаю пригодится тем, кто сталкивался с проблеммой патчинга в ИДЕ.
Установка простейшая: Just copy DebugAutoPatch.py file to IDA plugins directory.
Все детали на гитхабе, кому интересно и нужно - прочитают.

--> Patching system improvement plugin for IDA.<--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: =TS=

plutos пишет:
Думаю пригодится тем, кто сталкивался с проблеммой патчинга в ИДЕ
В иде есть проблема патчинга, если руки кривые

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
если руки кривые

ну tak это как раз именно мой случай! Поднимаю вверх свои кривые руки и сдаюсь!



-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> GhIDA <--: Ghidra decompiler for IDA Pro
Cisco Talos is releasing two new tools for IDA Pro: --> GhIDA <--and --> Ghidraaas<--.



The Ghidra decompiler is a standalone C++ project. Source code is --> HERE <--.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Может кто-нибудь уже пробовал GhIDA plugin и знает в чем тут дело.
Сам plugin появляется без проблем, начинает анализ, но в самом конце вылетает ошибка:
Ghidra headless analysis failed.
Я пока не копал глубоко, так, побаловался с настройками, но результат все тот же.
У меня ида 7.2, OS Win 7. Таже история и на ida32 и на ida64... (using Ghidra local installation, not Service)
У кого-нибудь работает?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
У кого-нибудь работает?
Ида 7.2 х64, питон 2.7.13 х64, гидра 9.0.4, работает (но плугин спамит в лог иды "TypeError: get_highlight expected 1 arguments, got 0"). Декомпиль может сам по себе крашнуться (правда на х86 такого не видал) и плагин возможно не при чем. Сомнительная затея по-моему, у гидры своя библиотека типов. Но на первый взгляд вроде нормально прототип и локальные переменные подхватывает.

-----
2 оттенка серого

| Сообщение посчитали полезным: ambro83

IDA --> plugin <-- for UEFI analysis

This plugin performs automatic analysis of the input UEFI module.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: mak

для любителей языка GO, если таковые имеются (я один из них):

Making --> GO <--reversing easier in IDA Pro

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: