Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

ага, но если чуть точней, то -
"The microcode API for C++ will be available in the next version of IDA"
"Python API won't be available yet"

| Сообщение посчитали полезным:

само собой апи

но писать плугин который будет геренить некий микрокод из любой платформы mips/avr/итд - скормить hexrays для декомпиляции - думаю можно будет, возможно не без хаков

самое главное интернал структуры и енумы микрокода

Добавлено спустя 4 часа 51 минуту
презенташка на гугле что бы онлайн просмотреть а не инсталить павер поинт --> Link <--

| Сообщение посчитали полезным: plutos

пишу loader-плагин (на с++), нужна ваша помощь.
Суть такая, есть несколько бинарников, каждый одного типа - заголовок и сжатые секции, грузить их нужно в определенном порядке один за другим, так как прыжки и вызовы процедур там сквозные между файлами.
я хочу вручную в плагине назагружать эти файлы и поместить по нужным адресам.

Собственно вопрос: как в функции idaapi load_file(linput_t* li, ushort neflags, const char* fileformatname) узнать путь к тому файлу, который грузится?
он передается в функции accept_file, но к моменту вызова функции load_file(), ИДА уже успевает закрыть плагин и открыть

| Сообщение посчитали полезным:

[wl]
нельзя ввести какие-либо признаки с сохранить в глобальном массиве путь и все что тебе нужно и потом сопоставлять в другой функции?

-----
старый пень

| Сообщение посчитали полезным:

костыли какие-то можно придумать, например, из accept_file в качестве fileformatname передавать прямо имя файла, ну или все файлы загружать вручную в основному через меню. Я думал, может есть какой-ибудь кошерный способ...

| Сообщение посчитали полезным:

Я делал так. Лежат файлы:
C:\base_dir\qwe.my_loader
C:\base_dir\module1.exe
C:\base_dir\module2.exe
Вы грузите в IDA qwe.my_loader.
Он нужен лишь для того, чтобы ваш плагин знал, что надо запуститься.
А далее, при вызове load_file(...), GetCurrentDirectory(...) вернет вам "C:\base_dir".
Проходитесь по "C:\base_dir", получаете список модулей.

| Сообщение посчитали полезным:

kunix
Благодарю, похоже такой способ подойдет, в каталоге среди исполнимых файлов есть файл метаданных, не знал, что при загрузке текущий каталог будет указывать на то, что грузится в иду

| Сообщение посчитали полезным:

В своей презентации "Decompiler internals: microcode" Ilfak Guilfanov говорит следующее:

"The microcode API for C++ will be available in the next
version of IDA

Check out the sample plugins that show how to use the
new API"

О каких именно sample plugins он говорит и где их можно найти?
Искал на оффициальном сайте ИДЫ, но то ли не туда смотрел, то ли их там пока нет...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

плагины будут в новом сдк в новой иде, как и новое апи
возможно как и все сдк оно потом будет доступно в документации доксиген на самом сайте

| Сообщение посчитали полезным: plutos

может кто-нибудь знает, что говорится (и говорится ли вообще) в оффициальной документации ИДЫ по поводу backward and forward compatibility of processor modules developed for different versions of IDA SDK?
Т.е. будет ли processor module разработаный под IDA SDK 5.6 (к примеру) работать с будущими версиями ИДЫ и наоборот, из настоящего в прошлое (backward)?
Интересует как оффициально высказаное мнение Ильфака (если таковое было высказано), так и личный опыт участников.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Т.е. будет ли processor module разработаный под IDA SDK 5.6 (к примеру) работать с будущими версиями ИДЫ и наоборот
Будет какое-то время. Но Ильфак не заморачивается на "compatibility" и может через какое-то время всё кардинально поменять. В версии 7.0 он так и сделал со своим СДК, к примеру. Может не быть обратной совместимости. Это уже не первый случай в его практике.
Какой-то функционал может даже исчезнуть вообще!!! Так что иллюзий строить не надо.

| Сообщение посчитали полезным: plutos

microcode api полное, как и ожидалось, все структуры которые кто то так хотел - есть
то что на слайдах в презентации ильфака тоже можно увидеть плагином, их(плагинов примеров) на ~+5 в декомпилере больше
апи идет только в иде в том же одном файле что и был, сразу все в одном файле,
в sdk что идет к иде отдельно его нет

в остальном скучно, багфиксов мало
нового - апи дебагера поменяли
остальное на мой взгляд по мелочи

| Сообщение посчитали полезным: plutos

reversecode пишет:
в остальном скучно, багфиксов мало
хочу уточнить: речь идет уже про ИДУ 7.1 и ее SDK?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

changelog ida 7.1 b1--> Link <--

| Сообщение посчитали полезным: plutos, Vintersorg

reversecode пишет:
changelog ida 7.1 b1

почему же они молчат про этот release?
На оффсайте сказано про IDA 7.0.171130 (SP1) (November 30, 2017), а про ida 7.1 b1 ни слова.
А на Pastebin уже все известно.
Просто хочу понять, как работает все эта система.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

это бета тестирование для нескольких пользователей
обкатают на них, потом будет релиз

буковка б говорит о том что это бета
вам показали приватную инфо

| Сообщение посчитали полезным:

reversecode пишет:
буковка б говорит о том что это бета

А ведь я знал, что b означает beta, ей-Богу, знал, но случилось со мной то, что англичане называют
"brain fart"!
Ну, с кем не бывает....

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Господа, а есть ли какой аналог natvis / autoexp.dat для сабжа?

| Сообщение посчитали полезным:

есть текстовый файл, содержащий что-то примерно такого:
00404E48: 'AnsiString',0
или
A 00004248: AnsiString
Как (помогите/подскажите) написать скрипт (idc или лучше py), который его пропарсит и добавит строки в комментарии? Застрял на парсинге после открытия файла
filepath = idaapi.askfile_c(False, "*.txt", "String log file");
imagebase = idaapi.get_imagebase();
Какие функции мне понадобятся перехода на новую строку в текстовом файле, поиска смещения и добавления комментария в IDA? Дело в том, что примеров с пояснениями мало, а функций много, они не структурированы по назначению.

| Сообщение посчитали полезным:

parfetka
readstr(), strstr(), substr(), atol(), set_cmt()

А вообще, зачем тебе в скрипте на питоне парсить текстовики апишками иды? Самим питоном не удобнее?

| Сообщение посчитали полезным: parfetka

parfetka пишет:
Какие функции мне понадобятся

Пример.


b307_21.02.2018_EXELAB.rU.tgz - IDC example.7z

| Сообщение посчитали полезным: parfetka

Народ у нас строгий, так что если про этот tool все знают, то уж сильно не пинайте.
Но может кому-то пригодится.

--> IDBTOOL<--
A tool for extracting information from IDA databases. idbtool knows how to handle databases from all IDA versions since v2.0, both i64 and idb files. You can also use idbtool to recover information from unclosed databases.

idbtool works without change with IDA v7.0.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет: Народ у нас строгий, так что если про этот tool все знают, то уж сильно не пинайте.

я постил в этой же теме.
подкину еще плагинов
JARVIS

https://github.com/carlosgprado/JARVIS

MazeWalker

https://github.com/0xPhoeniX/MazeWalker

| Сообщение посчитали полезным:

JARVIS - выглядит на картинке красиво. Требует Python 2.7, NetworkX и pyqt. Вот этот pyqt не идёт в составе питона, не ставится ни через свой инсталлятор (либо в нём не хватает библиотек), ни через "pip install pyqt5". Как его поставить? Также "Pin 71313 (vc12)" не устанавливается, похоже, хочет установленную студию..


shellstorm пишет:
https://github.com/x64dbg/PyQt5/releases
ну, надеюсь, хоть у тебя этот плагин работает, раз его предлагаешь..)

| Сообщение посчитали полезным:

parfetka пишет: ни через "pip install pyqt5"

https://github.com/x64dbg/PyQt5/releases

parfetka пишет: Также "Pin 71313 (vc12)" не устанавливается, похоже

tools всегда собирается под платформу, в виде dll не распространяют.

Добавлено спустя 4 часа 34 минуты
parfetka пишет: ну, надеюсь, хоть у тебя этот плагин работает, раз его предлагаешь

работает, как и большая часть других. учитывая, что практически все новые плагины распространяются подобным образом, тут остается учиться собирать или же забить на плагины.
вроде бы ничего сложного, скачать pin, студию под версию pin или самому править инклюды. именно этот плагин собирается без каких либо плясок с бубном, открыл проект, нажал собрать, вот и вся дохуясложная задача.)

| Сообщение посчитали полезным:

7.1 релиз оф --> Link <--

| Сообщение посчитали полезным:

reversecode пишет:
7.1 релиз оф --> Link <--

With this version of IDA we publish the decompiler intermediate language: the microcode. We were planning to do it since very long time but the microcode was constantly evolving, we could not do it. After ten years of evolution it looks mature and ready to be published.
We believe that it will permit our users to implement much more powerful and higher level analysis algorithms than before.

У меня вопрос к reversecode или к любому человеку, который захочет ответить:
Обьясните пожалуйста на примерах, "на пальцах", что именно имеется ввиду в последнем предложении?
Речь идет об написании plug-in'oв и processor modules? Или что-то еще?
Я в этом области делаю только первые шаги и очень хотелось бы разобраться.
Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет: Речь идет об написании plug-in'oв и processor modules?

и первое и второе, дают доступ к IL декомпилятора. близкие аналогии это байткод java или .net платформы, байткод один, а языков с диалектами куча, другая близкая аналогия, это интроспекция с рефлексией, можно писать свои препроцессоры, которые могут значительно улучшить вывод декомпилятора. очень мощная штука, без всего этого plugin api рельс сильно ограничен.

| Сообщение посчитали полезным: plutos

плагины к рейсу для манипуляции микрокодом IR
можно теперь паттерн матчинги сворачивать в свои узнаваемые конструкции
к примеру когда то рейс плохо последовательность movs movs матчил в memcpy
теперь можно было бы написать свой плагин который их будет узнавать и сразу генерить функцию memcpy
правда ильфак это уже и так улучил

--> Link <--
вон народ уже оказывается развлекается с микрокодом

| Сообщение посчитали полезным: plutos

IDA 7.1 SDK нада?

| Сообщение посчитали полезным: plutos