Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

Decompiler Internals: --> Microcode <--

Published on Jan 14, 2020
This talk sheds some light into the intermediate language that is used inside the Hex-Rays Decompiler.
The microcode is simple yet powerful to represent real world programs.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Пытаюсь собрать один древний plugin для IDA.
Требуется idasdk53, но у себя найти не могу. Может у кого-нибудь завалялся и он поделится?
Заранее признателен!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
https://www.sendspace.com/file/peqyjt

| Сообщение посчитали полезным: plutos

A refreshed web site for Hex-Rays: --> Link <--

+

IDA and Decompilers v7.4 SP1 have been released

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Есть такой выхлоп hex-rays


sys_info это винапи структура SYSTEM_INFO , но как мне ее тут объявить? При попытке "Set lvar type" задать struct SYSTEM_INFO или еще как нибудь, пишет ошибку.
В чем проблема и как тут быть? Структура такая же явно должна быть в хидерах.

И да, как и откуда Ида берет хидеры ? Где прописаны пути? Если у меня стоит 2 SDK, парсит ли она оба?

| Сообщение посчитали полезным:

morgot пишет:
И да, как и откуда Ида берет хидеры ?

View->OpenSubview->Type libraries
key "Ins" (add mssdk_????)

View->OpenSubview->Structures
key "Ins" (SYSTEM_INFO) - добавит в проект из библиотеки

key "Y" - назначить тип переменной

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: morgot, plutos

Хочу поставить этот плагин https://github.com/airbus-cert/comida , но почему-то Ида показывает ошибку ImportError: No module named winreg
В гугле пишут, что это стандартный модуль петона и должен быть. В ридми к плагину тоже не говорится об доп. установке.

Как быть? Или может это только для версии 7.4 (у меня 7.0).

Добавлено спустя 23 минуты
upd. с двумя импортами проблема решилась так
pip install python-qt5 (неоф. зеркало , т.к. в Ида стоит питон 2.7, а PyQT хочет третьего)
import _winreg as winreg - опять же, неясная ерунда.
Но вот с
AttributeError: 'module' object has no attribute 'lru_cache'
AttributeError: 'module' object has no attribute 'Hexrays_Hooks'
Походу никак не решить. Жаль, плагин был бы полезным.

| Сообщение посчитали полезным:

morgot пишет:
Или может это только для версии 7.4 (у меня 7.0).

да, для 7.4

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Плаг под Питон3, ie Ida74.
Заменив winreg на _winreg из Питона2, будет ошибка о functools.lru_cache() так что увы...
Можно попробовать компильнуть IDAPtyhon, попробовать вставить Иде. Это может решить проблемы этого скрипта, а может и нет (могут быть проблемы на интерфейсе с Ида api, eg Питон3 возвращает что-то другое из одноимённой функи и Ида не понимает). И Питон3 обрубит скрипты под Питон2...

| Сообщение посчитали полезным:

--> VT-IDA Plugin <--

This is the official VirusTotal plugin for Hex-Rays IDA Pro.
This plugin integrates functionality from VirusTotal web services into the IDA Pro's user interface.

This plugin has been developed for IDA Pro 7.0 and beyond and supports both Python 2.7 and 3.x.

ATTENTION: In order to use the content search functionality you will need to have access to --> VT Intelligence <--.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Сорри за оффтоп.
plutos, ты хоть понял для чего плагин ? Он полезен для тех, у кого подписка ВТ есть (за десятки к $), то есть у тех, кто работает в серьезных АВ/секюрити-конторах.

-----
ds

| Сообщение посчитали полезным: SReg

DimitarSerg пишет:
Он полезен для тех, у кого подписка ВТ есть

у кого подписка есть - тoмy полезeн, у кого нет - молча проходит мимо.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Парни как прикрутить hex rays из 7.0 в 7.2 ?

| Сообщение посчитали полезным:

подскажите по struct QString в псевдокоде, где посмотреть значение переменной?

| Сообщение посчитали полезным:

Подскажите, что здесь происходит? --> псевдокот и дизасм <--
предположительно, какое-то повышение привилегий или что, не пойму , или строка формируется или что. Может, у кого какие мысли будут.

| Сообщение посчитали полезным:

Байты разверни и в аскии. Чё не постишь откуда взял?
https://www.kernelmode.info/forum/viewtopicbad9-2.html?t=3687#p24981

https://github.com/hfiref0x/UACME/blob/09b4d16f654055dc6e8dece757a88f2e40d7b795/Source/Akagi/methods/hybrids.c#L2562
-> T_CLSID_ColorDataProxy

| Сообщение посчитали полезным: morgot

friend пишет:
Чё не постишь откуда взял?
Я это взял с дизасма какого-то локера.
Спасибо,понял.

Добавлено спустя 9 минут
Кстати, вот выше обсуждался хороший плагин для реверса СОМ. Но - только для новой Ида. А на заказ никто такой не хочет написать по седьмую.
Почему вот Ильфак такой странный человек? Вот я бы купил лицуху, реально. Мне даже 64 бит не надо, только 32 битную малварь под винду реверсить. Но нет, если ты не корп, то фиг купишь..

| Сообщение посчитали полезным:

для тех счастливцев, у кого есть IDA 7.3:

--> IDACyber <--

Data Visualization Plugin for IDA Pro:

IDACyber is an interactive data visualization plugin for IDA Pro. It consists of external "color filters" that transform raw data bytes into a canvas that can be used to inspect and navigate data interactively. Depending on the filter in context, browsing this data visually can reveal particular structures and patterns, literally from a zoomed-out perspective.

Requirements
•IDA 7.3+
•This IDAPython project is compatible with Python3 only.

For compatibility with older versions of IDA, you may want to check out the Python2 --> branch <--of this project.
там требования поскромнее:
Requirements
•IDA (Qt) >= 7.0

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> Prefix - Function Prefixing for IDA Pro <--

Prefix is a small function prefixing plugin for IDA Pro.
The plugin augments IDA's function renaming capabilities by adding a handful of convenient prefixing actions to relevant right click menus.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ни у кого, случайно, нет IDA 4.5 вместе с SDK, ну или хотя бы просто одной ИДЫ?

| Сообщение посчитали полезным:

--> Rebased Comment <--: Comment rebasing for IDA Pro

This plugin rebases comments when you rebase your IDA database.

The plugin will search for hexadecimal numbers that are within range of your program's segments, and fix your comments after every rebase.

Targeting support for IDA 7.0+.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Как-то можно ускорить анализ? Использую версию 7.2, 50 Мб dll, ида периодически подвисает.

Может опции какие или настройки?

| Сообщение посчитали полезным:

Apocalypse
если есть анализирование SEH ексепшинов и ихний unwind таблицы,
то на них может сильно притормаживать, можно вначале при загрузке файла опциями попробовать поотключать

1-SDK
я анализировал файлы по 500+ метров и все нормально

Добавлено спустя 1 минуту
https://www.hex-rays.com/products/ida-home-is-coming/
IDA Home is coming!
We will soon be releasing IDA Home. Curious? Leave your name and email to be amongst the first to be notified about progress and release information.

| Сообщение посчитали полезным:

| Сообщение посчитали полезным:

не думаю что одно и тоже
Ильфак в твиттере сказал
https://twitter.com/ilfak/status/1247463345600561152
Hex-Rays is about to come up with a solution that answers the RE community's needs. We will tell you more soon

Добавлено спустя 2 минуты
может сделают что то между сатартер и про
или другие какие ограничение скастят
посмотрим

| Сообщение посчитали полезным:

IDA Home has been exclusively designed to bring the experience of IDA Pro to reverse-engineers hobbyists, for the equivalent of 1$ a day!

IDA Home’s main features:
Ability to analyze 64-bit applications
Powerful IDAPython scripting with Python 3 support is included
Local native debugger included
One processor family of choice from the most common processors: PC, ARM, M68K, MIPS, PPC
Annual subscription
Named license only
For a price of 365$ / year


| Сообщение посчитали полезным: hiddy

Извиняюсь за то, что, возможно, мой вопрос прозвучит несколько глуповато, но тем не менее хочу поинтересоваться. А что мне даст эта лицензия, кроме как поддержки Ильфака, чтобы ему было что "покушать"? Задавать вопросы ему или его разработчикам по Иде 7.2 у меня ведь не будет возможности? Он же сразу сообразит почему возник тот или иной вопрос.

| Сообщение посчитали полезным:

dma/sty пишет:
Задавать вопросы ему или его разработчикам по Иде 7.2
Нет, сможете по 7.5 Home задавать вопросы. Ну или от вашей хитрости зависит.

| Сообщение посчитали полезным:

Katana пишет:
Ну или от вашей хитрости зависит.

Вариант, конечно, но не особо утешительный. Не зря ведь есть народная поговорка: "на каждую хитрую ж. найдётся свой болт с резьбой". Так что, видимо, большинство будут придерживаться принципа - не водили мы никогда дружбы с Ильфаком и нехрен начинать.

| Сообщение посчитали полезным:

new IDA plugin for embedded systems reversers.

IDA plugins and scripts for analyzing register usage frame: --> Oregami <--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Valemox