Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0

Это конечно прямо не относится к тематике данной темы, но поскольку, насколько мне известо, у нас темы про LLVM пока нет, то размещу здесь, да простят меня блюстители чистоты тем!
Obfuscator-LLVM uses pattern-based obfuscation and control flow flattening. Also, Obfuscator-LLVM does not generate opaque predicates, nor the allocarelated obfuscation.
Может об этом уже все давно знают, но, по-моему, интересный инструмент, тем более, что источники открыты.

на странице имеется ссылка:
A commercial version of Obfuscator-LLVM implementing much more advanced capabilities is available through strong.codes.

Но добраться до strong.codes я лично не смог... Если кто-то имеет опыт использования этого инструмента - поделитесь впечатлениями, можно через личные сообщения, что не загромождать данную тему.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
по-моему, интересный инструмент,
Куплен снапчатом, и используется только на нем. Один из авторов - https://twitter.com/cryptopathe. А причем здесь ида простите?

plutos пишет:
поделитесь впечатлениями
Хрень, универсальными скриптами (ага, idapython) под все LLVM обфускаторы все можно разобрать. CFF разруливается патчами бранчей. Предикаты убиваются эмулятором.

Вот здесь на этом софте применяли опенсорсную версию.

| Сообщение посчитали полезным: r_e, plutos

Katana пишет:
А причем здесь ида простите?
plutos пишет:
Это конечно прямо не относится к тематике данной темы, но поскольку, насколько мне известо, у нас темы про LLVM пока нет, то размещу здесь, да простят меня блюстители чистоты тем!

Да ни причем, конечно, как я уже и писал выше.
Просто этот tool упоминает Rolf Rolles в своей статье про IDA plugin.
Мне стало интересно, что это за tool такой, вот и поместил вопрос.
А плодить новую тему ради одного вопроса как-то вроде неудобно.
За инфомацию спасибо! Если кого огорчил - простите!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Katana

у кого есть доступ к https://twitter.com/IgorSkochinsky/status/1046430902002339840

IDA 7.2 beta info: https://forum.hex-rays.com/viewtopic.php?f=7&t=4377

что там новенького и интересного?

| Сообщение посчитали полезным:

пока ничего особенного, только сбор желающих на тестирование недели через две

люмина сервер какой то и новый айфон дебаг сервер, кучу всяких улучшений всего и вся но без особых подробностей, виртуал колл С++ рейс как то научился декомпилить

более подробно уже когда будет сама бета

| Сообщение посчитали полезным: Vintersorg, plutos

у меня вопрос к людям, которые реверсили иду: реально ли выложить ввиде псевдокода тот участок кода, который отвечает за microcode generation? хотя бы в самых общих чертах?
В своей статье "Decompilers and beyond" Ilfak Guilfanov все хорошо обьясняет, с примерами, но в подробности, понятное дело, не особенно вдается. А хотелось бы разобраться глубже.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Пытаюсь настроить ida68 SDK, читаю install_make.txt file, (folder idasdk68):


Открываю defaults.mk и вижу:


Теперь собственно вопросы:
если у меня windows sdk is located at C:\program files (x86)\Microsoft SDKs\Windows\V7.0A
а path to compiler CL.exe is located at C:\program files (x86)\Microsoft Visual Studio 14.0\VC\bin\cl.exe

то как мне эти paths уместить в dos format? Как должны они выглядеть?

какая разница между VS11PATH VSPATH8 и VSPATH?

VS11PATH => Visual Studio 2012 = version 11?
VSPATH8 => Visual Studio 2005 = version 8?
VSPATH => Visual Studio 2015 = version 14?

мне нужно все три обозначить, или одной VSPATH достаточно?

и еще, в allmake.mak есть такие define


я не могу найти где именно задается USE_VC11

и последний вопрос: обязательно ли использоватать именно те версии compiler, что указаны, или версия 14 backward compatible?
Если обьяснил путано, то любую нужную информацию предоставлю!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Пути: попробуй указать в кавычках.
Если кавычки не помогают, то получить короткие DOS имена файлов и папок можно командой:


USE_VC11 ты можешь задать в настройках студии (дополнительные define) или в твоём сорсе.

-----
EnJoy!

| Сообщение посчитали полезным: plutos

Jupiter пишет:
получить короткие DOS имена файлов и папок можно командой dir /X

или еще можно крошечный bat file:
@ECHO OFF
echo %~s1

в качестве аргумента - directory path куда надо.



Может кому пригодится.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

This -->tutorial<-- will get you started on debugging IDAPython scripts and plugins using Python Tools for Visual Studio.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

новый арм8 и для декомпилятора что то там с арм8
для еппла какие то улучшения в декомпиляции обжС
pdb доступна теперь и из под линукса а не только из винды
поддержка процов ПИК24 от микрочипа
поддержка сдвинутых указателей в структуре в декомпиляторе
автоматически распознаются виртуальные функции в декомпиляторе и штампуется под них виртальная таблица в структурах
в декомпиляторе еще много улучшений все они будут в релизе на сайте с примерами
так же декомпилятор лучше оптимизирует код и выбрасывает не нужные куски, вообщем типа оптимизатора ИР
ну и куча всяких улучшений по фор циклам итд

флирт распределенная база которая доступна под новым названием как люмина сервер
двафр соурс левел отладка для андроида

ну и куча всяких мелочей

| Сообщение посчитали полезным: RevCred

reversecode пишет:
вообщем типа оптимизатора ИР
наверное что-то как тут - http://www.hexblog.com/?p=1248

| Сообщение посчитали полезным:

не знаю, но пример выглядит по проще в бете
типа остатки кода после компилятора который выбрасывает декомпилятор
а в блоге оптимизация обфускации

Добавлено спустя 9 минут
ага это оптимизация называется value-range наверное для всяких циклов статических улучшает а не обфускацию снимает

| Сообщение посчитали полезным:

понятно, а я думал что на основе этих паттернов появилась симплификация IR вместо симплификации ctree, тоесть те же яйца - только в профиль, но на более низком уровне.

| Сообщение посчитали полезным:

микрокод апи тоже поменялся, не совместим с 7.1 но теперь обещают что больше менять не будут

Добавлено спустя 18 часов 34 минуты
вообщем из всего нового, классная штука только сдвинутый указатель
https://www.hex-rays.com/products/ida/support/idadoc/1695.shtml
можно хоть в отрицательное значение его сдвигать хоть в положительное
за то нормально теперь можно подстроить что бы поля структур резольвились

остальное улучшенные циклы, улучшенное деление итд на глаз не видно

| Сообщение посчитали полезным:

reversecode пишет:
вообщем из всего нового, классная штука только сдвинутый указатель
Пока ты не ковыряешь железо и на PIC тебе пофиг, да.



Вот PIC24HJ64GP506, например. Еще в начале года под PIC24 и PIC16 была необходимость писать процессорные модули.
--> Link <--

reversecode пишет:
а где хоть стоят эти пики ?
Embedded/IoT устройства же, а еще медицинское железо, станки

reversecode пишет:
я маленькое железо не колупаю
лазерный станок это маленькое железо?

| Сообщение посчитали полезным:

я маленькое железо не колупаю
а где хоть стоят эти пики ?
не в материнских ли платах ? тогда бум пентестеров понятен и кто забил ильфаку весь туду лист тоже

| Сообщение посчитали полезным:

Пожалуйста, помогите разобраться: как debug ida plugins?

в sdk readme обьясняется :

Это понятно, а вот как пройтись пошагово по исходному коду?
Что я пробовал:
Start IDA and load an IDB своего plugin'a.
Загружаю исходный код своего plugin'a в Visual Studio and set breakpoints

В Visual Studio (with the plugin file open), use DEBUG->Attach to process
В списке активных процессов выбираю idaq.exe and click Attach
Жду когда breakpoint сработает.... Но он не срабатывает... Что-то явно от меня ускользает.

Все выше описаное я делал, НЕ ИСПОЛЬЗУЯ Python Tools for Visual Studio, т.е. метод, описаный в статье, ссылку на которою я дал выше. (пост #11)

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
В Visual Studio (with the plugin file open), use DEBUG->Attach to process
В списке активных процессов выбираю idaq.exe and click Attach
Все верно, но есть ньюанс:
плагин должен быть собран как DEBUG (Release тоже будет работать, но из-за оптимизаций компилятора значительная часть бряков, вотчей и т.п. - нет)

| Сообщение посчитали полезным: plutos

как правильно поставить остальное все от IDA Pro 7.0
x64_idapronm_hexarm64m_hexarmm_hexx64m_hexx86m_170914_e723c5648dc3f2f588ab8339ccf62ec0+
там папка Contents

idasdk70 файлы
flair70.zip
idasdk70.zip
idasdk70-doc.zip
idsutils70.zip
ios_deploy.zip
loadint70.zip
tilib70.zip

ida_plugin&patch.7z
куча файлов

до этого ставил всё насколько корректно неизвестно, может есть информация как всё поставить чтоб было всё на своих местах?

на скоряк хотел поставил щас чтоб для server.dmp скачать .pdb файлы но что то он и жрать не стал дамп.
на др компе давно ставил норм сьел дамп этой же 7ой версией

--> статья <--
--> дамп <--
тема - CTFZONE 2018 - The solution of the "private_problem" task

| Сообщение посчитали полезным:

Xlab0s
Судя по имени и папке Contents это под мак пакет. Должен ставиться просто кликом.

-----
старый пень

| Сообщение посчитали полезным:

В idasdk (install_visual.txt) подробно описывается конфигурация visual studio project'a для компилляции ida plugins.
Eсть готовый --> IDA Pro plugin template for Visual Studio <-- чтобы не париться каждый раз, выставляя все oпции.
Единственная засада: там нужна регистрация, но я, в силу каких-то таинственных причин, никак не могу логануться даже после нескольких регистраций.
Так вот, может быть кому-нибудь этот template пригодится и он, будучи человеком добрым, выложит его куда-нибудь для всеобщего пользования.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos


be55_25.10.2018_EXELAB.rU.tgz - IDAPro_Plugin_Template_for_Visual_Studio_[unknowncheats.me]_.rar

| Сообщение посчитали полезным: plutos

plutos
с первого раза...

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

BfoX пишет:
с первого раза...

все правильно: ты работаешь хорошо, а я работаю много...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Переставил всё по несколько раз
ScyllaHide_2018-10-11_11-41 под ida7 не идёт
да и дамп так и несмогла ida взять в работу

копию принёс где всё работает но тоже не пошло каких то компонентов походу в системе не хватает

| Сообщение посчитали полезным:

пытаюсь собрать -->IDA plugin for RetDec <-- под Windows. ).
Все вроде просто, но вылетает с ошибкой

Error MSB6006 "cmd.exe" exited with code 1. retdec-project C:\Program Files (x86)\MSBuild\Microsoft.Cpp\v4.0\V140\Microsoft.CppCommon.targets 171



понимаю, что это связано с CustomBuild rules и с тем, что это external project, но не могу никак дотумкать, в чем именно проблема. все выглядит нормально, но не работает. В интернете множество сходных проблем обсуждалось, но все как-то частные случаи. Пожалуйста, попробуйте собрать и посмотреть свежим взглядом, не должно занять много времени. Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

7.2 release--> Link <--
кто там ченж лог хотел

| Сообщение посчитали полезным: RevCred

Lumina сервер кто-то уже видел в действии?

--> IDA: Lumina server <--

Сказано, что бесплатно для активных пользователей:

We provide it for free to our active users

-----
EnJoy!

| Сообщение посчитали полезным:

видели и действовали с люминатами
а что

| Сообщение посчитали полезным: