Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

plutos пишет:
Batch Binary Analysis with IDA Pro 7.4 Automation
Этот могучий скрипт умеет дожидаться окончания автоанализа иды и выводить список найденных функций в текстовый файл. То ли автор хотел похвастаться наличием у него иды 7.4, то ли планами перечислить все найденные идой функции в 10к файлах. И вероятно распечатать все это на рулоне обоев, другое применение придумать сложно.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
То ли автор хотел похвастаться наличием у него иды 7.4,

Lucky bastard!

Ничего, когда-нибудь у всех будут иды 7.4, а то и 7.5!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Adler, vasilevradislav

plutos пишет:
Ничего, когда-нибудь у всех будут иды 7.4, а то и 7.5!
ага, только к тому времени, боюсь, у легалов будет 18.3

кстати, в новых версиях появилась поддержка структур с битовыми полями?

| Сообщение посчитали полезным:

вы же и сами можете посмотреть ? новшества иды публичны на офф сайте
нет, битовых полей в структуре нет

| Сообщение посчитали полезным: soft

reversecode пишет:
нет, битовых полей в структуре нет
Обидно, досадно, да ладно.


-----
2 оттенка серого

| Сообщение посчитали полезным:

и что толку ?
вы же в курсе как компилятор преобразует доступ к битовым полям на уровне инструкций асма любой архитектуры ?
без поддержки в декомпиляторе, это даром не нужно

| Сообщение посчитали полезным:

reversecode пишет:
без поддержки в декомпиляторе, это даром не нужно
Так в курсе уже, что возможности движка, если они не реализуются нажатием одной кнопки или меньше, тебе даром не надо.

-----
2 оттенка серого

| Сообщение посчитали полезным:

поэтому даже в гидре нет поддержки битовых полей в декомпилере ага

| Сообщение посчитали полезным:

--> Dynamic Data Resolver <-- (DDR) — IDA Plugin
--> Статья по функционалу и использованию <--
--> Видео "Overview of Dynamic Data Resolver" <--

Запилен на базе DynamoRio, может всякое интересное

| Сообщение посчитали полезным: ajax, plutos, mak, dma/sty

--> IDACode <--
An integration for IDA and VS Code which connects both to easily execute and debug IDAPython scripts.

IDACode makes it easy to execute and debug Python 3 scripts in your IDA environment without leaving Visual Studio Code. The VS Code extension can be found on the marketplace.
IDACode is still in a very early state and bugs are to be expected.

Features
Speed: Quickly create and execute scripts.
Debugging: Attach a Python debugger at any time.
Compatibility: IDACode does not require you to modify your scripts in a specific way. All scripts can be executed from within IDA without changes.
Modularity: IDACode does not make extensive use of safe wrappers for thread synchronization, this allows you to import any module from any path at any given time. Instead IDACode synchronizes the script execution thread with IDAs main thread to avoid performance and unexpected issues.
IDACode only supports Python 3.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Подскажите, пожалуйста, вопрос по ARM.
Исследую facebook для андроид. У него есть версия x86 и ARM. В случае с x86 у меня получилось отыскать нужную строку в библиотеке .so, в ARM эту же строку найти не могу. В чем может быть дело?

42d8_09.06.2020_EXELAB.rU.tgz - 2020-06-09_12-23-15.png

| Сообщение посчитали полезным:

Как так?

bf57_12.06.2020_EXELAB.rU.tgz - Screenshot_2.png

Добавлено спустя 0 минут
56fb_12.06.2020_EXELAB.rU.tgz - Screenshot_1.png

Добавлено спустя 0 минут
Запускаю версию 32, код тоже 32

| Сообщение посчитали полезным:

аттачи не работают

| Сообщение посчитали полезным:

Держи - https://dropmefiles.com/b8huc

| Сообщение посчитали полезным:

ну и ? в 32 битную иду грузите x64 код

Добавлено спустя 0 минут
yashechka пишет:
код тоже 32

пруф ? ида говорит что он 64

| Сообщение посчитали полезным:

Вот открыл в 64 битной :/
https://dropmefiles.com/OdKsW
Фигня какая-то. Что с хексрейзом.

| Сообщение посчитали полезным:

это екзе или что?
глазками если посмотреть то там какой код 32 или 64 ?
в самом самом начале ида вью
что показывает ? там где проц асм имя файла итд

Добавлено спустя 1 минуту
в той сборке иды в оригинале был только x64 рейс
32 битного не было
что в ебауте иды про аддишин плагины ? рейсы какие ?

| Сообщение посчитали полезным:

Да обычный код 32 бита, скомпиленный на икси в борланд с++
Раздача вот - https://rutracker.org/forum/viewtopic.php?t=5748289

| Сообщение посчитали полезным:

IDA Pro 7.2.181105 WIN x86/x64 + Hex-Rays Decompilers (x64) [2019, ENG]
ну и где здесь упоминание про 32 рейс ?
ебаут аддишин
все тебе скажет

| Сообщение посчитали полезным:

тю, а я даже не читал шапку, думал что всё включено.
Спс.

| Сообщение посчитали полезным:

--> Hexrays Toolbox <--
Hexrays Toolbox is a IDAPython script for the Hexrays Decompiler which can be used to find code patterns within decompiled code.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Как можно в отладчике IDA посмотреть структуру? При условии что отладочных символов к конкретному файлу нет (сама структура системная). Т.е. IDA показывает в отладчике на вкладке структур саму структуру, но как заполнить ее актуальными значениями?

| Сообщение посчитали полезным:

Alt+Q если не ошибаюсь и выбираешь свою структуру

-----
старый пень

| Сообщение посчитали полезным:

r_e
когда так делаю (во время отладки), то пишет 0000000000401042 start endp ; sp-analysis failed
Может такое быть, что софт 32 битный, а дебажу 64 битной Идой?
Не в тему, но - существует отладчик, где можно нормально смотреть структуры? Хоть один.

| Сообщение посчитали полезным:

В иде можно более менее нормально смотреть. Переходишь по интересующему блоку памяти с данными и мапишь структуру.

-----
старый пень

| Сообщение посчитали полезным: morgot

r_e пишет:
и мапишь структуру.
Как?

| Сообщение посчитали полезным:

morgot
alt+q же, ну.

| Сообщение посчитали полезным: morgot

Подскажите, что я сделал не так - все время работал с IDA 6.8.150423 никаких проблем не было, сейчас поставил на очередной комп, пытаюсь раскодировать .NET DLL (на той же IDA на других компах эта DLL открывается нормально) - выдает предупреждение Error at CoCreateInstance code 0x80131700 - жму все равно загружать - выкидывает ошибку Corrupted .NET metadata. Как правильно сконфигурить чтобы открывало нормально?

| Сообщение посчитали полезным:

_MBK_ пишет:
Как правильно сконфигурить чтобы открывало нормально?

а .NET Framework версия соответствует?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

А какая должна быть?
Программе во всяком случае, для запуска версии хватает
Попробовал запустить уже установленную с каталога (которая на другом компе работает) - то же самое
Начинаю думать на десятку - нормально работало на семерке

| Сообщение посчитали полезным: