Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

Программа написана на qt, debug версия, возможно ли восстановить исходники и по ним разбирать или только псевдокод иды ?

| Сообщение посчитали полезным:

mazaxaker пишет:
debug версия
PDB в наличии?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter, нет, просто попалась дебаг версия)

| Сообщение посчитали полезным:

mazaxaker пишет:
нет, просто попалась дебаг версия

Тогда зависит от твоих навыков и усидчивости.
Посчитай, за сколько дней/недель плотной работы ты можешь в общих чертах восстановить код небольшой программы уровня блокнота (notepad). Пусть это будет 1 реверс-сила в блокнотах (1 notepad reverse-force). После чего прикинь сложность твоей программы и оцени общий объём работы. Потом умножь на 2 или на 3. Если объём оценённой работы тебя не ужаснул, смело берись за работу

-----
EnJoy!

| Сообщение посчитали полезным:

Suite of IDA --> scripts <--for SEGA Genesis ROM hacking

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Кто-нибудь может популярно, простым и всем доступным языком обьяснить роль функций notify и особенно invoke_callbacks в ида processor module?
Т.е. вопрос не в том, что происходит ВНУТРИ этих функций, а что происходит СНАРУЖИ, т.е. кто их вызывает и т.д.
Информации очень мало, только SDK header files, да вот еще кусочек:



Оно вроде и понятно, но может кто-нибудь что-нибудь добавит "по-простому" без особенной формальности?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

notify() это коллбек самого плугина, указатель на него лежит в processor_t (в экспорте под именем LPH). Если поставить в него бряк, окажется, что вызывает его ida.dll. Тут наверное нечему удивляться.

invoke_callbacks() вызывает коллбеки, зарегистрированные (нет) register_post_event_visitor() и hook_to_notification_point() (а эти регистрирует куча плугинов включая лучи). Результат, который invoke_callbacks() возвращает, это результат исполнения последнего коллбека, либо 0, если их нет. То есть это процессорному модулю зачем-то нужно решать, информировать ли о событиях HT_IDP плугины. И если последний из них (не все, а последний) это событие не обработал, процессорный модуль должен как-нибудь зачем-то сам это сделать.


ЗЫ: кстати не так уж и много дефолтных процессорных модулей вообще используют invoke_callbacks(). Видимо это настолько необязательно, что даже фирменная продукция себя не очень этим нагружает.

-----
2 оттенка серого

| Сообщение посчитали полезным: plutos

f13nd пишет:
Если поставить в него бряк

Вот, кстати, еще вопрос, который я уже когда-то задавал, но ответа толком не получил:
Как лучше всего / легче всего debug ida processor module?
То ли в составе самой ИДЫ, когда он уже загружен, то ли как-нибудь отдельно.
У меня тут опыта совсем нет, так что если можно, то опиши пошагово весь setup.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
У меня тут опыта совсем нет
У меня тоже опыта написания отладочных модулей нет, есть только задумки, но они уже с идой не связаны.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Вопрос про ida processor module debugging остается открытым.
Я понимаю, вопрос специфический, надежды немного, но все же, может чего покажется...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

К вопросу создания IDA MODULES. Может кому-нибудь пригодится:

IDA 7.x VisualStudio 2017 --> Sample Project <-- for IDA and HexRays plugins (works with Community Edition)

This is a sample Visual Studio 2017 (Community Edition) project for IDA 7.x plugins on Windows.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Дебажу бинарник arm, запуская в qemu vexpress armv7 под gdbserver, на 7.0 при пошаговой отладке часто перескакивает до следующего бряка, как будто f9 нажал, как это лечится ? Еще часто при f8 появляется окошко runing, тоже не понятно как лечить.

| Сообщение посчитали полезным:

mazaxaker пишет:
как это лечится ?

У IDA вечно проблемы были с дебагом. В 7.0 хоть немного x64 отладку поправили. Попробуй связку gdb + gdbserver. Лично я unicorn использую. Много чего не хватает, периферийных устройств нет, непонятно как обрабатывать svc, но управлением кодом на текущий момент чего-то добился. Мысль сейчас приделать интерфейс отладчика для удобства.

-----
IZ.RU

| Сообщение посчитали полезным:

ida 7.4 sdk + hexrays_sdk не пробегали?
Буду премного благодарен

| Сообщение посчитали полезным: mak

реверса хексрея ни на паблике ни в привате не видно за все эти годы
так какой смысл ?

| Сообщение посчитали полезным:

have you ever wished to have interactive buttons in your IDA Pro comments?
Well, now you CAN!

Не знаю, насколько это полезная штука, но вот --> clicker.py <--, который позволяет это делать.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

fn_fuzzy.py - IDAPython --> script <-- for fast multiple binary diffing triage

how to use:


-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ида не ловит хард-бряки при отладке через gdbserver на qemu платформе. Полагаю надо ядро как-то собирать с их поддержкой. Может кто подсказать какие галки в menuconfig там надо поставить для этого ?

| Сообщение посчитали полезным:

Нет для иды плагинов для отладки прошивок для ARM?

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Нет для иды плагинов для отладки прошивок для ARM?

IDA Pro ARM debugger plugin

не --> оно <--?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: DenCoder

plutos пишет:
DA Pro ARM debugger plugin

не --> оно <--?
Похоже, но Pre-Alpha

Можно попробовать и подправить, если что. Thanks!

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
но Pre-Alpha

Да, штука старовата, Last Update: 2013-11-04

искал update, но пока не нашел. если найду, кину в личку

UPDATE:

может это как-то пригодится:

BinCAT plugin is: a static Binary Code Analysis Toolkit, designed to help reverse engineers, directly from IDA.
The interpreter parses the input file and has the logic to understand the semantics of ARM and x86 instructions.
It converts the instructions into an intermediate language for analysis.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

DenCoder пишет:
Нет для иды плагинов для отладки прошивок для ARM?

QEMU?

| Сообщение посчитали полезным:

Integrate Ghidra's decompiler as an Ida plugin

| Сообщение посчитали полезным: Hugo Chaves

Dart Raiden пишет:
Integrate Ghidra's decompiler as an Ida plugin

Note from cseagle (the author):
"It is the Bastard love child of Ghidra's decompiler with Ida Pro"

Case of Cyber incest?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> BNIDA <--Description:
bnida is a suite of plugins that provide the ability to transfer analysis data between IDA Pro and Binary Ninja databases.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Может кто подскажет, отлаживаю в qemu vexpress платформе arm бинарник, в ида не срабатывают аппаратные бряки. Полагаю надо при сборке ядра какие-то галки в menuconfig поставить. Собирал так https://balau82.wordpress.com/2010/08/17/debugging-arm-programs-inside-qemu/ там советуют EABI галку ставить. Может кто знает для бряков аппаратных какие галки поставить ?

| Сообщение посчитали полезным:

Ребятушки, а ida 7.2 под вайном у всех работает? А то обновился, похерив старую 7.0, а новая под виндой работает как часы, а в линуксе говорит, что ключ "expired or corrupted". Кто-нибудь сталкивался с таким?

| Сообщение посчитали полезным:

IDA Evaluation Version 7.4.191125 for Windows

The evaluation version has the following limitations

it supports only the 80x86 family : IDA supports a large number of other processors.
it will load only files of PE/ELF/Macho-O formats. The full version of IDA will accept virtually any file, from Atmel ROMs to iPhone executables. See our disassembly gallery for information about the additional processors, operating systems and file formats we support.
the only compiler signatures included are the ones that can be used to produce Windows 32 PE files; the only type information included is for Visual C++ 6 and Borland C++ Builder.
The MS Windows version contains a demo version of the Bochs debugger. Please note that the full version support Bochs debugger on all platforms.
Check the debugger tutorial
you will not be able to save your work, it will time out after some use, it will not disassemble itself.
IDAPython, the set of powerful Python bindings for IDA is not available.
The demo version of IDA comes with the x64 decompiler.

--> Link <--
--> Link <--
--> Link <--
--> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: plutos

понимаю, вопрос тупой, но прежде чем качать, хочу уточнить:
А custom processor modules demo version будет поддерживать? Если к ним свой custom loaders?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: