Сейчас на форуме: -Sanchez- (+7 невидимых)

 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
<< 1 ... 18 . 19 . 20 . 21 . 22 .
Посл.ответ Сообщение


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 27 марта 2017 11:54
· Личное сообщение · #1

Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 28 июня 2020 16:58
· Личное сообщение · #2

старой Иде 6.8 надо соответствующий MS VC Runtime package установить



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 28 июня 2020 17:11
· Личное сообщение · #3

Который?



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 28 июня 2020 19:30
· Личное сообщение · #4



А в чем проблема установить все* ?
Они же места особо не просят, а много софта будет спотыкаться из-за отсутствия.

| Сообщение посчитали полезным: _MBK_


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 29 июня 2020 08:01
· Личное сообщение · #5

Если бы иде хотелось MS VC Runtime какого-нибудь, она бы не запускалась. Нужная библиотека в импорте основного модуля.

-----
2 оттенка серого




Ранг: 58.3 (постоянный), 50thx
Активность: 0.040.08
Статус: Участник

Создано: 29 июня 2020 08:33
· Личное сообщение · #6

_MBK_ пишет:
пытаюсь раскодировать .NET DLL (на той же IDA на других компах эта DLL открывается нормально)

Так а другие пробовал? Может дело в самой библиотеке?
Раз Ида запускается, скорей всего с её импортом всё нормально (как выше уже написали)

| Сообщение посчитали полезным: plutos

Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 29 июня 2020 10:39
· Личное сообщение · #7

Все запускается и работает, косяк только с дотнетовским плагином и только на десятой винде. Получается, проблема только у меня?



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 29 июня 2020 14:14
· Личное сообщение · #8

_MBK_ пишет:
пытаюсь раскодировать .NET DLL

что значит ваша фраза

какого типа ваша дот нет длл - managed/mixed mode?
что именно надо раскодировать внутри - код, строки, данные?
зачем именно ида для анализа дот нета - есть много других более соответсвующих инструментов - ILspy, dnSpy, и др

2) вообще-то иде6.8 дотнет фреймворк и не надо по хорошему счету

3) Иде6.8 надо MS VC++ 2008 redistributive
b936f0f378b9a35489353e878154e899 *vcredist_x86.exe
1.7 MB



Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 30 июня 2020 06:03
· Личное сообщение · #9

sendersu пишет:
что именно надо раскодировать внутри - код, строки, данные?

IL опкод

sendersu пишет:
зачем именно ида для анализа дот нета - есть много других более соответсвующих инструментов - ILspy, dnSpy, и др

Бывает, надо, эти соответствующие инструменты именно что под фреймворк заточены и местами вместо каскодирования ошибки репортят, а IDA железно декодирует. Во всяком случае, до текущего момента.
sendersu пишет:
3) Иде6.8 надо MS VC++ 2008 redistributive
b936f0f378b9a35489353e878154e899 *vcredist_x86.exe
1.7 MB

К сожалению, не помогло



Ранг: 58.3 (постоянный), 50thx
Активность: 0.040.08
Статус: Участник

Создано: 30 июня 2020 09:06
· Личное сообщение · #10

_MBK_ пишет:
косяк только с дотнетовским плагином и только на десятой винде.

Так всё-таки, речь о каком-то плагине для Иды?
Что-то не припомню, чтоб сама Ида с байт-кодом ковырялась, тем более, что сам байт-код в нете - это семечки,
основная задача - с метаданными разбираться!

| Сообщение посчитали полезным: plutos


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 30 июня 2020 09:29 · Поправил: plutos
· Личное сообщение · #11

скорее всего ИДА тут ни причем.
Я бы для начала посмотрел в сторону CoCreateInstance и убедился, что она получает нужные ожидаемые аргументы.
Может на Windows 10 что-то по-другому, чем на других OS, потому и вылетает с ошибкой.

-----
Give me a HANDLE and I will move the Earth.




Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 30 июня 2020 09:47
· Личное сообщение · #12

Видимо я не умею объяснять...
Пошагово:
Берем IDA 6.8.150423 открываем ей любую дотнетовскую сборку
Вываливается окошко сверху тип сборки Microsoft.Net assembly (pe64.i64) processor type MetaPC (disassemble all opcodes) жмем Ok
Под семеркой все хорошо, а вот под десяткой засада - вываливаются вышеописанные ошибки
Остальные типы EXE и DLL раскодируются нормально (во всяком случае, те, что я пробовал)




Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 30 июня 2020 11:03
· Личное сообщение · #13

_MBK_ пишет:
Подскажите, что я сделал не так - все время работал с IDA 6.8.150423 никаких проблем не было, сейчас поставил на очередной комп, пытаюсь раскодировать .NET DLL (на той же IDA на других компах эта DLL открывается нормально) - выдает предупреждение Error at CoCreateInstance code 0x80131700 - жму все равно загружать - выкидывает ошибку Corrupted .NET metadata. Как правильно сконфигурить чтобы открывало нормально?


_MBK_ пишет:
А какая должна быть?
Программе во всяком случае, для запуска версии хватает
Попробовал запустить уже установленную с каталога (которая на другом компе работает) - то же самое
Начинаю думать на десятку - нормально работало на семерке


Сказали же уже, .NET Framework версию проверь, сравни на вин7 и на вин10, тебе нужна версия .NET 3.5, на 10 ке её нет изначально, её нужно устанавливать по запросу, если сделать это после обрезания телеметрии, то можно запороть систему. Разница в том, что старые и новые фреймворки по разному определяют COM типы, вероятно при попытке раскодировать объекты возникает эта ошибка, так как нет COM описателей, я не работал с COM в иде, раньше она не могла видеть ком функции, если сейчас видит, то вероятно Иде нужны эти описатели, которых нет. Возможны и другие проблемы с .NET Framework, если файлы повреждены...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


| Сообщение посчитали полезным: _MBK_

Ранг: 62.5 (постоянный), 34thx
Активность: 0.280.96
Статус: Участник

Создано: 01 июля 2020 10:08
· Личное сообщение · #14

mak пишет:
тебе нужна версия .NET 3.5,

А вот это помогло, но, однако, нивжисть бы не догадался, спасибо!



Ранг: 51.5 (постоянный), 16thx
Активность: 0.040.01
Статус: Участник

Создано: 01 июля 2020 21:42
· Личное сообщение · #15

IDA Pro: работа с библиотечным кодом (не WinAPI)

| Сообщение посчитали полезным: plutos, mak, Vintersorg

Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 06 июля 2020 21:05
· Личное сообщение · #16

--> BinaryAI - Neural Search Engine for binaries <--
Видео
Доки

Судя по видео (там ближе к концу понятно что оно делает), довольно-таки неплохо

| Сообщение посчитали полезным: plutos
<< 1 ... 18 . 19 . 20 . 21 . 22 .
 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати