Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

TOM_RUS пишет:
IDA 7.1 SDK нада?
а hexrays_sdk есть?

| Сообщение посчитали полезным:

awlost пишет:
а hexrays_sdk есть?
Если бы он у меня был, выложил бы. Тот, у кого есть, делиться по непонятным причинам не хочет.

| Сообщение посчитали полезным:

TOM_RUS пишет:
Тот, у кого есть, делиться по непонятным причинам не хочет.

причин много и все они понятны.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ну вот оно собственно hexrays_sdk 7.1

| Сообщение посчитали полезным: plutos

Не совсем в тему, но ...
свершится чудо:
"Автор дизассемблера IDA Pro выступит на PHDays 8
Подробнее: https://www.securitylab.ru/phdays/491898.php"

из анонса:
"Ключевым докладчиком PHDays 8 станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов."

| Сообщение посчитали полезным:

DrVB_5_6 пишет:
Автор дизассемблера IDA Pro выступит на PHDays 8Подробнее: https://www.securitylab.ru/phdays/491898.php

Для того, чтобы вживую послушать его выступление, необходимо [Регистрируйтесь]зарегистрироваться и посетить на Positive Hack Days.



Интересно, кто-нибудь зарегистрировался? И будет ли выступление опубликовано и если будет то где?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Интересно, кто-нибудь зарегистрировался? И будет ли выступление опубликовано и если будет то где?
А в чем проблема-то? Денежку только отстегнуть. Фирма оплатит, надеюсь, раньше проблем не было.
До сей поры со всех PHDays даже видео докладов было, не только слайды или статьи.
А так, особо ничего нового он скорей всего не расскажет. Уже в декабре рассказывал.
Теперь вот в Монреале ещё собирался повторить (не помню только до PHDays или после, а искать нет желания).

| Сообщение посчитали полезным:

Прошивка мк MFRC531, пробую в ида загружать, но видит как бинарник и не дизасмит. Среди списка процев такого нету. Подскажите как подобное дизасмить в ида.

| Сообщение посчитали полезным:

mazaxaker пишет:
Среди списка процев такого нету

как вариант (не самый простой и легкий): написать свой processor module.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos, а как узнать хотя бы заголовок байтов прошивки под этот девайс, просто подозрение что она зашифрована, с ней в комплекте прога для прошивания по юсб в устройство.

| Сообщение посчитали полезным:

mazaxaker
Посмотреть на хекс дамп. Если пошифрована, то будет выглядеть как рандомные данные, иначе будет прослеживаться структура (те же векторы прерываний, например).

| Сообщение посчитали полезным:

вопрос к знатокам ИДЫ.

Как именно ИДА находит в числе других processor modules, в %IDADIR%\procs, именно тот, который ей в данном случае нужен. Какой тут используется алгоритм?

И еще один: откуда вызывается PROCESSOR_ENTRY function?

Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Как именно ИДА находит в числе других processor modules, в %IDADIR%\procs, именно тот, который ей в данном случае нужен.
Используется информация либо из ключей командной строки -p####, а если не задано то согласно таблице из .\cfg\ida.cfg с привязкой к расширению загружаемого бинаря
// Default processor configuration table
// -------------------------------------
//
// The default processor will be used if the processor type is
// not specified in the command line.
// Feel free to customize this table.
//
DEFAULT_PROCESSOR = {
/* Extension Processor */
"com" : "" // IDA will try the specified
"exe" : "" // extensions if no extension is
"dll" : "" // given.
"drv" : ""
"sys" : ""
"bin" : "" // Empty processor means the default processor
"ovl" : ""
"ovr" : ""
"ov?" : ""
"nlm" : ""
"lan" : ""
"dsk" : ""
"obj" : ""
"prc" : "68000" // PalmPilot programs
"axf" : "arm"
"h68" : "68000" // MC68000 for *.H68 files
"i51" : "8051" // i8051 for *.I51 files
"sav" : "pdp11" // PDP-11 for *.SAV files
"rom" : "z80" // Z80 for *.ROM files
"cla*": "java"
"s19": "6811"
"epoc": "arm"
"o": ""
"*": "" // Default processor
}

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: plutos

Ребята, подскажите, вот есть длл с экспорт методами, мне нужно отладить пару ее методов. Я хочу сделать дамп памяти длл, в моменты входа в эти методы и потом продолжить отладку с этого места, подгрузив этот дамп памяти и состояние регистров также.
Ида умеет делать дампы памяти, но не понятно как их потом подгружать и продолжить отладку с того места. Можно ли как-то это в ида сделать или в какой лучше проге ?

| Сообщение посчитали полезным:

mazaxaker
Допустим, в IDA(1) у нас загружена и разобрана dll. В IDA(2) загружаем exe, который использует dll, в свойствах отладчика ставим "Break on library load" и запускаем отладку. Смотрим в окно Modules и жмем F9 пока там не появится наша dll. Как появилась, выбираем в контекстном меню "Jump to module base". В IDA(1) делаем "Edit/Segment/Rebase" на тот адрес, по которому dll загружена в IDA(2) и затем экспортируем базу в idc-файл (File/Produce file/Dump database to idc...). В idc-файле удаляем строку "delete_all_segments()" и загружаем этот idc в IDA(2). Все, можно убирать "Break on library load", переходить к нужным функциям dll по ctrl+p, расставлять бряки и запускать exe на выполнение.

| Сообщение посчитали полезным: mazaxaker, topmo3

IDA Pro 6.8

Странная штука с ИдаПитоном во время отладки. Такая проблема: ставим брейкпоинт на WndMsgHandler, в conditions вписываем скрипт на питоне


Какое бы ни было сообщение, отображается


Правде соответсвуют только значения ebp и wParam. Аргументы из стека почему-то не читаются правильно. Если же брякнуться на входе в хэндлер и выполнить каждую строчку и командной строки, то аргументы читаются верно. Никто не сталкивался с таким?

Добавлено спустя 10 минут
На idc-скрипте то же самое

Добавлено спустя 30 минут
Ошибка найдена:


Как-то странно работает ИдаПитон - как будто не инициализирован до конца от момента запуска процесса. И чтобы скрипт работал правильно, обязательно надо перед этим хотя бы один раз брякнуться в коде самой программы...

=========================
Этот глюк исправляется установкой галочки на Refresh debugger memory

-----
IZ.RU

| Сообщение посчитали полезным:

DrVB_5_6 пишет:
Не совсем в тему, но ...
свершится чудо:
"Автор дизассемблера IDA Pro выступит на PHDays 8
Подробнее: https://www.securitylab.ru/phdays/491898.php"
из анонса:
"Ключевым докладчиком PHDays 8 станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов."

Что можно полезного рассказать за 1 час выступления того, чего нельзя просто прочитать в статье о том же, взгляде назад, на историю, как это начиналось, что сделано и что будет.
Из тех кто уже использовал 7.0 он действительно сырой и стоит подождать?

| Сообщение посчитали полезным:

iTuneDVR пишет:
и стоит подождать?

да чего ждать-то? Ждать когда сделают ИДЕАЛьНУЮ ИДУ?
Многим когда-то и dos'овского DEBUG'a в консоли хватало.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ребята, а в ида из дампа можно сразу в бинарном виде байты эти сохранить, дергаю из дампа загруженный текстовой файл, написал прогу, чтобы эти байты сразу в бинарном виде, а не текстовом сохранять, вот интересуюсь, нет ли в самой ида такой возможности ?

| Сообщение посчитали полезным:

mazaxaker
Ctr+C

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

plutos пишет:
Многим когда-то и dos'овского DEBUG'a в консоли хватало.

Для б.м. практических вещей использовался AFD (1985),
некоторые использовали Soft-ICE для DOS (1992) - то была вообще круть - умел переносить "тёплую" перезагрузку.
Чуть позже появился Insight, очень удобная Вещь, Deglucker тоже, но то уже для 386+.
Так что DEBUG.EXE всерьёз не использовался -
для него изощрялись со всякими скриптами-патчами COM-файлов, не более.
То несерьёзная тулза была, абы для отмазки, мол, вон у нас в DOS'е даже отладчик "стандартный" имеется.
Он и не развивался вообще, со времён DOS v.5. и до DOS v.8 включительно. MS забила на него член.
И ещё этот, TurboDebugger - удивительно бесполезная была штука, при всей навороченности.
Оба вовсю использовали стек отлаживаемой программы, что чаще всего приводило к её дисфанкшену..

--Добавлено--
plutos пишет:
Вообще-то про DEBUG я так, в шутку, сказал, первое, что пришло в голову .

) Ну, Ок.



| Сообщение посчитали полезным:

dosprog пишет:
И ещё этот, TurboDebugger - удивительно бесполезная была штука

ну спасибо что разьяснил, а то я так и пребывал во мраке!
Вообще-то про DEBUG я так, в шутку, сказал, первое, что пришло в голову .
Так что не будем начинать holy war по поводу достоинств и недостатков каких-то мертвых инструментов: и не место и не время, да и ни к чему все это.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

mazaxaker
Menu-Edit-Export Data (Shift+E)
там можно в любом виде хекс бинари текст итд
если у вас такого пункта меню нет, значит вам не повезло

| Сообщение посчитали полезным: mazaxaker

Кто-нибудь использовал программу CodeSurfer? (https://www.grammatech.com/products/codesurfer)
Если да, то какие впечатления?
Спрашиваю в этой теме потому, что один человек доказывал мне, что по сравнению с этим CodeSurfer, IDA просто нервно курит в сторонке, но ссылками на источник свои слова не подкрепил.
Я не очень поверил, потому хочу для самоуспокоения узнать мнение общественности.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
но адреса ссылки на источник почему-то не оставил...

Видимо это https://www.grammatech.com/products/codesurfer

| Сообщение посчитали полезным:

jinoweb пишет:
Видимо это https://www.grammatech.com/products/codesurfer

Да, это-то это, но имелась ввиду ссылка на доказательство преимущества CodeSurfer'a над IDA'oй, а не адрес оффсайта.
Прошу прощения, если плохо свормулировал вопрос. Поправлю.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Software Inspection Using CodeSurfer - PDF --> Link <--



-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: plutos

plutos пишет: Да, это-то это, но имелась ввиду ссылка на доказательство преимущества CodeSurfer'a над IDA'oй, а не адрес оффсайта.

Преимущество в навигации и в работе с графами, эта часть в IDA выполнена не очень, сказывается возраст проекта, по остальным параметрам IDA нет равных на данный момент, опять же, сказывается возраст проекта, по крайне мере на паблике ничего превосходящего IDA не встречал, именно функционала который непосредственно относится к RE. Дубовые графы IDA частично исправляют плагины, навигацию можно сделать на коленке.

| Сообщение посчитали полезным: plutos

shellstorm пишет:
Преимущество в навигации и в работе с графами

если имеешь, может поделишься?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет: если имеешь, может поделишься?

у меня нет, игрался у одного коллеги, сам не пользуюсь инструментами которые не купил бы сам или не смог убедить начальство купить, приватным софтом которые время от времени подкидывают тоже не пользуюсь, только для тестов. на работе не скажешь у меня нет этого, вот этого, а без этого не умею ничего, купите мне весь мир, нужно пользоваться доступным и тем, что начальство точно купит или сам готов купить, именно на этот софт я и 50$ не стал бы тратить. именно для навигации полного бесплатного софта. какая то из версий раньше валялась на варёзниках, возможно найдётся в поисковике.

| Сообщение посчитали полезным: