После дизассемблирования программы есть такие стоки:

mov edx, [ebp+var_40]
mov edx, [edx+8]
Call ...

при этом я знаю, что var_40 - это ни что иное, как объект TList, для которого я создаю структуру по смещению 8 байт которой хранится количество элементов.
Вопрос: как один раз обозначить, что [ebp-var_40] - это адрес моей структуры, и все относительные ссылки автоматически заменить на что-то типа mov edx,[edx+pTList.Count]?

| Сообщение посчитали полезным:

Да, хороший вопрос, жаль ни кто не хочет отвечать. По моему тут ИДУ не очень любят. Больше предпочитают Олю.

| Сообщение посчитали полезным:

qvant
Ну а навести мышь на var_40 и сделать Rename не катит разве?

| Сообщение посчитали полезным:

Да, если попросить Иду применять различные сигнатуры, то иногда такого эффекта добиться можно, но не факт.
Для того, чтобы Ида автоматически не применяла никаких сигнатур, во время открытия файла, отмени чекбокс "Analysis Enabled". А потом сам выбирай из списка сигнатуры и применяй. (Open signatures window)

| Сообщение посчитали полезным:

Ara пишет:
Ну а навести мышь на var_40 и сделать Rename не катит разве?

Речь не об этом.. Смотри, есть код:

mov edx, [ebp+var_40]
mov eax, [edx+8]
Call ...

Первая строка помещает в edx указатель на мою структуру. Структуру, которую я сам создал в ИДА, выглядит она приблизительно так:

pTList struc ; (sizeof=0x10)
field_0 dd ?
field_4 dd ?
Count dd ?
field_C dd ?
pTList ends

Вторая строка, т.е. mov eax,[edx+8] помещает значение поля Count моей структуры в eax.
var_40 я понятное дело переименую во что-то типа TList, но хочется показать иде, что в edx указатель на мою структуру и соответственно все обращения типа [edx+8] - это ни что иное, как обращение к полям моей структуры. Т.е. хочется добиться замены [edx+8] на pTList.Count причем не ручного а автоматического.

| Сообщение посчитали полезным:

Лично я делаю так:

static Struct_TList()
{
auto sHandle, sHandle_TObject;
auto error;
auto STRUCTURE_NAME;

auto ID, Address;
auto EnumName;
// Ïðîñìîòð ñòðóêòó íà íàëè÷èå TObject, åñëè íåò òî ñîçäàòü
sHandle_TObject = GetStrucIdByName("TObject_obj");
if(sHandle_TObject == -1)
{ sHandle_TObject = Struct_TObject(); }

STRUCTURE_NAME = "TList_obj";
sHandle = AddStrucEx(-1, STRUCTURE_NAME, 0);
if(sHandle == -1)
{ sHandle = GetStrucIdByName(STRUCTURE_NAME);
if(sHandle == -1)
{ WarningMessage("Unable to create the " + STRUCTURE_NAME + " structure!\n");
return -1; }
return sHandle; }

// AddStrucMember(sHandle, "pVTBL", 0x00, FF_DWRD, -1, 4);
AddStrucMember(sHandle, "pVTBL", 0x00, FF_DWRD + FF_0OFF, -1, 4);
AddStrucMember(sHandle, "Items", 0x04, FF_DWRD + FF_0OFF, -1, 4);
AddStrucMember(sHandle, "Count", 0x08, FF_DWRD, -1, 4);
AddStrucMember(sHandle, "Capacity", 0x0C, FF_DWRD, -1, 4);

EnumName="EnumTList";
ID=AddEnum(0, EnumName, 0);
if (ID != -1)
{ Address=0x00; AddConstEx(ID, "TList_Grow", Address, -1);
Address=0x04; AddConstEx(ID, "TList_4", Address, -1);
Address=0x08; AddConstEx(ID, "TList_8", Address, -1);
Address=0x0C; AddConstEx(ID, "TList_10", Address, -1); }

return sHandle;
}

затем просто выбираю из Sumbolic constant

| Сообщение посчитали полезным:

Вот мой оригинал (он много неполный...)


e5ea_DelphiAnalis.idc.zip

| Сообщение посчитали полезным:

Если кто доработает буду благодарен!

| Сообщение посчитали полезным:

Для полного комплекта мои скрипты для делфи (чтото периписал, чтото сам)

b38b_IDAidc.zip.zip

| Сообщение посчитали полезным:

Кстати кажется работает и с Borland C++

| Сообщение посчитали полезным:

TretS
Спасибо за твои скрипты. Действительно их применений облегчает понимание текста в IDA
У меня такой вопрос. Мне встречались некоторые программы на Delphi (точно на нем), но скрипт на них не отрабатывал. Нельзя ли их доработать или в чем проблема?

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH
Возможно в DelphiAnalis необходимо изменить имя сегмента кода ---
StartAdr=SegByBase(SegByName("CODE"));

| Сообщение посчитали полезным:

TretS
То есть я понимаю возможны варианты. А как точно тогда определить имя сегмента кода?
Как я понимаю в этом случае имя желательно считывать из файла?

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

TretS
Да кстати проверил, действительно изменив имя секции в скрипте можно добиться срабатывания, но хотелось бы автоматического распознования секции.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH
Писалось давно, замучила работа.
Пробывал по ЕР но работало не на всех распакованных файлах
Появится свободное время займусь поплотней. Извени.

| Сообщение посчитали полезным:

TretS
А как тогда считываются названия сегментов в скриптах для IDA?
Можно попробовать считать и установить первый сегмент.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH
Определим адрес ??? принадлежащий первому сегменту:

long SegStart (long ea); // returns start of the segment
// BADADDR if bad address passed
получаем стартовый адресс сегмента.

Хорошо бы знать как в ИДЕ вызвать перечисление всех сегментов или анализом загаловка файла вытащить
порядок сегментов, но это много муторней, т.к. придется вручную анализировать все остальное (есть скрипт
он анализирует заголовок и полько процедуру ЕР).



dcac_IDA_PE_idc.rar.zip

| Сообщение посчитали полезным:

Хотя посмотрев помощь 4.9 нашел

// Get first segment
// returns: linear address of the start of the first segment
// BADADDR - no segments are defined



long FirstSeg (); // returns start of the first
// segment, BADADDR - no segments

можно попробовать!!!

подробнее завтра посмотрю на работе

| Сообщение посчитали полезным:

TretS
Хотя посмотрев помощь 4.9 нашел
Это только для 4.9?
А для 4.8 как?

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH
Просто дома стоит только 4.9, завтра на работе посмотрю 4.8, 4.7

| Сообщение посчитали полезным:

TretS
кстати, он формирует структуры данных для каждой Form. Я имею ввиду типа

TForm1_Button3 = 388h
TForm1_Label1 = 394h
TForm1_Label2 = 3A4h
TForm1_Label8 = 3A8h

Но в самой программе они автоматически не встают. Их приходиться выставлять самостоятельно.
Это было так задумано или просто не ставилась цель все автоматизировать?
Сорри, если я слишком навязчиво по нему спрашиваю, просто идея очень хорошая и в первой редакции неплохо вышло, но хотелось бы автоматом многие вещи, чтобы не выставлять их.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH

для 4.8 работает

Попробуй поискать книгу Касперски: ОБРАЗ МЫШЛЕНИЯ – ДИЗАССЕМБЛЕР
IDA Pro - описывает функции для ИДЫ

Задумывалось как проба для написания плагина, но что-то дальше пока не идет ;)

| Сообщение посчитали полезным:

TretS
Ты прав для определения первого сегмента работает
StartAdr=FirstSeg();
Заменив его делаем срабатывание (по крайней мере у меня так) везде.
Со вторым еще сам смотрю. Читаю книгу, что ты посоветовал.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH

По поводу автоматической расстановки имен - это действительно (соответствует задумке автора)
только на уровне пользовательского кода. Чем глубже в RTL тем все абстрактней. Поэтому
по моему главная трудность в определении границы пользовательского кода. Компоненты вероятно
попадают в определение пользовательского кода.

| Сообщение посчитали полезным:

TretS
Однако только увидел проблему. У проги код разбросан по разным сегментам, так он обрабатывает только один.
Прочитал, то что советовал
И немного изменив. вроде добился, чтобы по всем сегментам искал.

Но я думаю, это еще не все надо посмотреть вариант с прямым назначением имен из структуры данных, как я описывал выше.


92e4_03.04.2006_CRACKLAB.rU.tgz

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH

Вот еслибы суметь в режиме отладчика считать в скрипт значение регистров, то
можно было бы автоматизировать расстановку в пределах процедуры.
Но помоему нельзя узнать значение регистра.

По поводу скрипта да действительно удобней, не надо указывать имя сегмента руками в тексте скрипта

| Сообщение посчитали полезным:

TretS пишет:
режиме отладчика считать в скрипт значение регистров
плагин надо написать и все получится

| Сообщение посчитали полезным:

infern0

Про плагин речь шла выше как идеал, а это подготовка к написанию, так сказать выработка стратегии

| Сообщение посчитали полезным:

TretS
infern0
А не применяя плагин значит нельзя будет?
Ведь структуры то делаются, почему нельзя их присобачить внутри каждой формы (используя, то что там многое однотипно)?

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH

Как обяснить ИДЕ в статике экземпляр какого класса передается в функцию?

Также скрипты не позволяют создавать рекрусию.

Кстати Structures и Enums хорошо применять и в встроенном отладчике.

Еще для расширения кругозора нужно посмотреть исходники DeDe (где взять не помню, размер ок 2М)

| Сообщение посчитали полезным: