Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

DenCoder пишет:
джавовский код для меня ещё тот гемор
Там есть петон на такие случаи.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd, спасибо!
кстати, это тянет на статью! (в хорошем, научном смысле слова!)

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

f13nd пишет:
Допустим есть некоторый известный всем алгоритм и он в x86 (это шулерский прием сравнивать иду по x86, но некоторые считают, что кроме него ничего не существует)

Интересное расследование. Позже нужно будет попробовать вникнуть, а то вдруг все это рассчитано на то, что Инди в этом не разбирается, а остальные заняты своими проблемами, поэтому поверят на слово и наставят лайков.

| Сообщение посчитали полезным:

sim_19 пишет:
Позже нужно будет попробовать вникнуть, а то вдруг
sim_19 пишет:
поверят на слово и наставят лайков.
А куда ты блин ставишь не разобравшись?

Проблема стара как ида: в интеле еще более-менее она может динамическую адресацию сворачивать внутренними средствами дизасма, в других архитектурах берись за мнемонику или опкод инструкции и разматывай сам, делай дизасм в дизасме. Микрокод (появившися в 7.1) частично снимает эту проблему, но для 3 архитектур, на каждую по две разрядности. Ее давно бы на другие рельсы переставить, но кто тогда станет платить за каждый декомпилер по отдельности и в несколько раз больше, чем за саму иду?

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
А куда ты блин ставишь не разобравшись?

Так в долг ставлю, с надеждой в перспективе разобраться без всякого шулерства.
А то есть, знаете ли, отдельные личности из стран ближнего зарубежья...


f13nd пишет:
но кто тогда станет платить за каждый декомпилер по отдельности и в несколько раз больше, чем за саму иду?

Не знаю, у меня, по всей видимости, не такой опыт как у f13nd'а, но для меня на данный момент - существует два декомпилера, это у Иды и у Гидры. А все эти RetDec, Reko и т.п. на порядок проигрывают. У Радара с этим тоже напряженка, а вроде бы, есть какое-то свое подобие микрокода (не помню названия).
Так что может рейс и стоит своих денег, с учетом вложеного в него времени и знаний. Другое дело, что не у каждого есть такие деньги и еще интересный момент: как посчитать сколько он должен стоить?

| Сообщение посчитали полезным:

sim_19 пишет:
А все эти RetDec, Reko и т.п. на порядок проигрывают. У Радара с этим тоже напряженка

Меня очень интересуют сравнительные характеристики различных инструментов.
В сравнении сразу видны и плюсы и минусы.
Поэтому не могли бы Вы, как это сделал глубокоуважаемый fiend, проиллюстрировать свои слова конкретными примерами?
Думаю многим было бы интересно.
Да и хочется сравнить свое мнение с мнением других людей: что-то они увидели, чего я, скажем, не заметил, и наоборот.
Заранее спасибо!

PS
поскольку эта тема про иду, то и сравнивать хорошо бы именно с ней

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Меня очень интересуют сравнительные характеристики различных инструментов.
Шо, опять?
Когда в последний раз видел радар, там все совсем было плохо со скриптингом, даже писал об этом в соответствующей теме. На самом деле в радаре есть нормальный интерфейс для петона, через vala bindings (не представляю как это работает, но по-моему пользователи майкрософт это никогда не смогут оценить), о чем говорят семплы из radareorg/radare2-bindings/python. Но в соответствующем модуле anal (да, он так называется) не вижу апей (radareorg/radare2-bindings/vapi/r_anal.vapi), которые были бы ширше и продвинутей, чем у иды. Устанавливать линукс только ради копания в этом anal'е считаю затеей сомнительной.
У RetDec очень скучный список архитектур. Возможно замечательный инструмент, но пусть кто-нибудь другой его смотрит. У reko казалось бы посолидней, но это даже не интерактивный дизассемблер, вообще программа очень скромно выглядит. И там зачем-то есть OllyScript.

-----
2 оттенка серого

| Сообщение посчитали полезным: plutos

f13nd пишет:
Шо, опять?
f13nd, мой вопрос был адресован не Вам. (No offence!)

просто хотелось услышать мнение sim_19, который смотрит "свежим глазом"

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
глубокоуважаемый fiend

Ну, тогда уж сразу friend.
Нужно как-то чуть поакуратней с философскими никами глубокоуважаемых людей, а то f13nd ведь тоже может упростить космос до чего-нибудь более приземленного.

plutos пишет:
Да и хочется сравнить свое мнение с мнением других людей: что-то они увидели, чего я, скажем, не заметил, и наоборот.

Не подумайте, что я "отмазываюсь". Нет - я не против, но предлагаю все же начать с вас. Возмите какой-нибудь свой образец exe-файла, на который у вас есть исходник и сравните. А далее свой субъективный вывод: считаю RetDec, Reko вполне достойными декомпиляторами, которые почти на равных конкурируют с более именитыми аналогами. Принимая во внимание, что пользоваться ими можно абсолютно бесплатно. А далее, следом за вами, я опишу свой взгляд на эти вещи (с конкретными примерами). Вот это будет более интересней и ближе к какой-то относительной объективности.

P.S. Попутно хотел узнать ваше мнение по поводу > поста #18 (sty) < , а то как-то немного все "замылилось" и не совсем понятно как кто к этому относится: серьезный ли это недостаток или так мелкий недочет с которым вполне себе можно работать.

| Сообщение посчитали полезным:

--> Scripts and cheatsheets for IDAPython <--



-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: DenCoder, mak

Как же все таки исправить ошибку с отладкой в Ида? Вот здесь вопрос поднимался, ответили что нужно обновить Иду. Но, это нереально по понятным причинам. Да и ошибка проявляется не всегда. А именно - когда пробую 32 битной Ида дебажить 32 битное приложение на Windows10x64. Что интересно, на 64 битной семерке такая же Ида вполне себе дебажит, ровно как и на убунту. Пробовал запускать от админа - не помогает.

Точнее, то что мне надо , делается через windbg, просто в нем настолько страшный интерфейс, что я не могу ничего понять - ни в новой версии с плеймаркета, ни в оригинальной. Или я тупой, или там нельзя пошагово трейсить как в олли/х64дбг, в общем хотел заюзать Иду как оболочку, и то не вышло.

| Сообщение посчитали полезным:

morgot пишет:
Или я тупой, или там нельзя пошагово трейсить как в олли/х64дбг

я не знаю, что именно ты пытаешься trace, поэтому, на вскидку: глянь --> тут <--.
Мне в свое время пригодилось.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> Tool <--for PDB generation from IDA Pro database

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Здравствуйте! Есть такая проблема: когда я дизассемблирую программы, скомпилированные с помощью MinGW GCC, IDA почему-то некорректно распознаёт фреймы процедур! Дело в том, что GCC формирует передачу параметров не через стандартные операции push/pop, а непосредственно пишет параметры в стек с помощью инструкций MOV, предварительно зарезервировав фрейм. IDA этого не понимает, из-за чего локальные переменные распознаются неверно, что ощутимо затрудняет исследование кода. Скажите, можно ли как-то решить эту проблему? У меня сейчас стоит версия 7.

| Сообщение посчитали полезным:

Какой-то, видимо, слишком "утонченный" троллинг.
Ради интереса проверил на версии 6.8 - Ида все поняла правильно.
Видимо, чем выше версия Иды, тем она глупее.
Да! Стареет старик Ильфак, стареет и Ида вместе с ним.
Ради интереса захотелось потестировать Иду версии 4.5.
Никто не подскажет где ее можно найти?

| Сообщение посчитали полезным:

LShadow77 пишет:
Скажите, можно ли как-то решить эту проблему?

Если stack frame is not correctly aligned, это можно исправить путем изменения stack pointer'a:
Options tab =>
Click General =>
Check the Stack Pointer

Слева увидишь stack pointers и инструкцию типа sub esp, 0xSomeHexh:
Click на sub esp, 0xDifference_Between_old_and_new_SP_hex,
press Alt+k, появится диалог Change SP value, click OK, click F5

Надеюсь поможет.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos, не подумайте чего-нибудь плохого, но мне стало интересно: как нужно скомпилировать исходник в GCC, чтобы можно было воспользоваться вашим советом? Я уже и размеры переменных менял (одновременно использовал разные размеры), но компилятор и Ида - прекрасно справляются со своими функциями. Я думаю, что только как-то можно искуственно вручную пропатчить, ну тогда причем здесь GCC? А то вдруг я где-то "не догоняю"?

| Сообщение посчитали полезным:

IDA Pro --> plugin <--provides TileGX support

Cisco Talos has a new plugin available for IDA Pro that provides a new disassembler for TileGX binaries. This tool should assist researchers in reverse-engineering threats in IDA Pro that target TileGX.



-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

sim_19 пишет:
А то вдруг я где-то "не догоняю

а то, с опытом прийдет

кстати ида 7.4 говорят вышла
может теперь чаше релизится будет

| Сообщение посчитали полезным:

reversecode пишет:
кстати ида 7.4 говорят вышла

так таки ДА!

New IDA 7.4 and Decompilers released!

Welcome to IDA 7.4!

Подробности (Change logs):

IDA 7.4: --> здесь <--
Decompilers:--> здесь <--

7.4: global structure cross-references in the decompiler.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

В продолжение темы --> HexRaysDeob<-- (July 7, 2019, post #28)

Hex-Rays microcode API plugin for breaking an obfuscating compiler (C++ code)

--> pyhexraysdeob <--

This is a port of Rolf Rolles' HexRaysDeob to IDAPython.

This port matches the C++ source code as much as possible on purpose, and is by no means 'pythonic' Python code.
Still, it is a great way to demonstrate how the 'microcode' API can be used from IDAPython.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Video Tutorial:

IDA Pro --> Tutorial <--- Reverse Engineering Dynamic Malware Imports

Warning: it's in ENGLISH. You've been warned!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> IDA Plugins list <--

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: DenCoder, plutos, morgot

Прикольно! Интересно много плагинов, интерес пока остановился на Debugger plugin for IDA Pro backed by the Unicorn Engine, в недалёком будущем надо попробовать

-----
IZ.RU

| Сообщение посчитали полезным:

IDA, I Think It’s Time You And I Had a Talk:
--> Controlling IDA Pro With Voice Control Software<--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: AE

--> VMX_INTRINSICS <--

This plugin allow to display unhandled VMX instructions into their respective intrinsic form when using the decompiler:

Original output (the value of the register RAX is not even displayed):



Output with the plugin (the value of the VMCS field is now displayed correctly):



-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

IDA Pro Malware Analysis --> Tips <--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

подскажите, возможно ли объявить в IDA структуру с битовыми полями?
например:


В доках IDA есть про enum bitfield, но как быть если нужна структура bitfield?

| Сообщение посчитали полезным:

FIDL library, a wrapper around the Hex-Rays API



You can find FIDL in the --> FireEye GitHub <--repository.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Extending IDA processor modules for GDB debugging --> Link <--

The full source code for the plugin can be found at
--> here <--.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: