Группа YAG зарилизила

IDA Pro Advanced v5.2 with WinCE v5.0 debugger

DataRescue.IDA.Pro.Advanced.v5.2
www.badongo.com/file/5378386
rapidshare.com/files/73564287/idpa.rar.html

DataRescue.IDA.Pro.Advanced.v5.2.SDK
www.badongo.com/file/5378219
rapidshare.com/files/73559854/kds.rar.html

Hex-Rays.Decompiler.v1.0.for.DataRescue.IDA.Pro.Advanced.v5.2
rapidshare.com/files/73559126/yaghexrs.zip.html

DataRescue.IDA.Pro.Advanced.v5.2.Linux
www.badongo.com/file/5377855
rapidshare.com/files/73554357/yagidpl.rar.html

DataRescue.IDA.Pro.Advanced.v5.2.MacOSX
www.badongo.com/file/5378097
rapidshare.com/files/73558620/adokvnonb.rar.html

| Сообщение посчитали полезным:

шрифты на месте...

охренеть, это ж надо уметь так сделать дебагер, чтобы он зависел от шрифтов...

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx
попробуй сделать reset desktop
у меня почти такое каждый раз происходит, пропадает окно disasm-а, остальное все на месте

| Сообщение посчитали полезным:

Hexxx пишет:
охренеть, это ж надо уметь так сделать дебагер, чтобы он зависел от шрифтов...

Гадство, да, из-за того что подсказки не вырисовываются как надо, пришлось с CrossOver ставить в VMware IDA ;)

| Сообщение посчитали полезным:

Hex-Rays 02 Jan 08

hexblog.com/2008/01/better_user_interface_for_decompiler.html

We are glad to release a new version of the Hex-Rays decompiler! Highlights of this build:
improved usability
support for unusual calling conventions
better handling of obfuscated code
The most important improvement is the user interface. Now the decompiler is at your fingertips at all times, the same way as the graph view. Remember that you can toggle graph-text views in IDA with one keyboard hit? For the decompiler you can use the Tab key: it toggles between the disassembly and pseudocode views.
For those of you who prefer to see both the decompiler output and disassembler output in the same window, we added the "copy to disassembly" command. It just does what its names says: copies the pseudocode text to the disassembly window. You can see both outputs simultaneously: mapping of low level assembly idioms to high level constructs is made as transparent as possible.
With this build, you will be able to open multiple pseudocode windows. This will be especially useful for long functions: just open a separate window for each called function by Ctrl-double clicking on function names. The long function will stay intact in its own window and you won't lose time by reanalyzing it upon each return.
One more command to handle code complexity: ability to hide parts of code. The new hide/unhide command allows you to collapse a multiline statement into just one line. Collapsing unimportant sub-statements reveals the global structure of the decompiled function.
We also added other things to make the life easier: the command to jump to xrefs, better status line information, support for the __spoiled keyword, and more heuristic rules to the analyzer.


Better user interface and improved robustness (click for more info)
+ multiple pseudocode windows can be opened
+ new command: copy c text to disassembly window (available from the right-click menu)
+ new command: the tab key toggles between the disassembly and pseudocode windows
+ new command: hide/unhide statements (if,loops,switch,blocks)
+ new command: jump to xref; since the pseudocode addresses do not map exactly to disassembly addresses, the decompiler jump to the nearest address if an exact match can not be found
+ status line of pseudocode window displays the name of the current function
+ spoiled<> keyword is supported by the decompiler (maybe there are some cases when it is ignored, requires more thourough testing)
+ more intelligent handling of tail calls
+ more intelligent detection of thiscall/fastcall function types
+ improved detection of saved eax/edx pairs: now such functions are correctly detected as returning 'void'
bugfix: delieberately obfucsated code could cause interrs
bugfix: wrong sp trace could lead to interr; now it leads to 'lvar allocation failure'
bugfix: output code for the SF flag was incorrect. the code was "x<y" while it must be "(x-y)<0"
bugfix: attempt to decompile an uncompletely analyzed function could lead to interr (because of incorrect sp values); now decompiler gracefully fails in the situation
bugfix: function pointers can not be subtracted or compared but hexrays was doing it; added necessary casts to the output
bugfix: some linux calls (accepting arrays as parameters) could cause interr
bugfix: if the decompiled code was accessing undefined registers, the decompiler could interr

| Сообщение посчитали полезным:

linhanshi пишет:
bugfix: attempt to decompile an uncompletely analyzed function could lead to interr (because of incorrect sp values); now decompiler gracefully fails in the situation
Ахрененный багфикс...

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Так а глупый вопрос, где это добро берется-то?

| Сообщение посчитали полезным:

ppc, какое добро? Хекс - рэйз? пока нигде не берется... вот ЯГИ возьмуцца тада будет с рапиды брацца)

-----
Researcher

| Сообщение посчитали полезным:

Ну да Хекс - рэйз.. Чего вон linhanshi всякими релнотами дразнится-то ;)

| Сообщение посчитали полезным:

infern0 пишет:
а у тебя случайно системные шрифты не установлены в 120% ? писали что из-за этого наблюдаются серьезные глюки в дебаггере.
Где именно 120%?
У меня дебаггером невозможно пользоваться - сразу после аттача выдаёт ошибку, перестаёт реагировать на большинство команд и вешает процесс.

| Сообщение посчитали полезным:

virusman пишет:
перестаёт реагировать на большинство команд и вешает процесс
У меня точно так же оно ся ведет но не при атаче, а именно при запуске.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

По ссылкам в шапке вместо линукс качаеться мак версия .
Выложите плиз на линукс.

Извиняюсь сам напутал...

| Сообщение посчитали полезным:

Народ...
Ламерский такой вопросик:
Этим декомпилятором нельзя никак бинарники (.bin), а точнее прошивку телефона раскомпильнуть?

| Сообщение посчитали полезным:

Dobby007
Определи тип процессора, который используется в телефоне(думаю ARM там) и грузит в ida файл, выбрав нужный процессор.
Для иды это файл будет безформатный. Нужно ещё покопаться на предмет начала кода в этом файле.

| Сообщение посчитали полезным:

Тип проца - Arm710a. Да это я все знаю. Я уже копался в проше. Делал патчи и т.п. Только как-то тяжело код ассемблера разбирать по строчки. Думал СИ было б по-приятнее...
Только вот проблема в том что для декомпляции обычных ЭКЗИШНИКОВ нужно как я понял нажать CTRL-F5 или просто F5 на нужной функции, аздесь хоть клаву сломай, нажимая эту кнопку - ничего не происходит...

| Сообщение посчитали полезным:

Dobby007 пишет:
прошивку телефона раскомпильнуть
В hexrays - нет.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

ну если не в hex-rays то что еще можете посоветовать или это пустые только надежды: поглядеть прошивку на языке СИ?

| Сообщение посчитали полезным:

Dobby007, для любого процессора получить исходный код из бинарника невозможно. Только в .NET и Java позволяют восстановить сырцы с большой степенью достоверности. И то не всегда.

| Сообщение посчитали полезным:

ViSoR пишет:
для любого процессора получить исходный код из бинарника невозможно.
Ну я впринципе был уверен в этом до того момента как увидел ХексРэйс. Как увидел - появилась слабая надежда....
Ну ладно... Все равно спасибо...

| Сообщение посчитали полезным:

Dobby007, как только в hexrays появится поддержка архитектуры ARM - это будет возможно, а пока остаётся разбирать арм-асм. без этого всё-равно далеко не уйдешь.

| Сообщение посчитали полезным:

Dobby007 пишет:
ну если не в hex-rays то что еще можете посоветовать или это пустые только надежды: поглядеть прошивку на языке СИ?

Попробуй BinEdit. Он бесплатный и комментирует каждую строку ARM ассемблера причем по русски:

binedit.sgh.ru/

ViSoR пишет:
для любого процессора получить исходный код из бинарника невозможно. Только в .NET и Java позволяют восстановить сырцы с большой степенью достоверности. И то не всегда.

Забыл добавить P-Code VB

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

В любом случае перевод в инструкции процессора это более деструктивная операция, чем перевод в некий байт-код виртуальных машин .NET, Java, VB и сотоварищей. Хотя бы потому, что теряется деление на код и данные. Тот же .NET IL чётко разделяет данные и код. И команды чётко видны, а не как в обычном дизасме - сместился на один байт и всё превращается в мусор.

| Сообщение посчитали полезным:

intro

Это пока хорошо что в армовых девайсах еще нет понятия пакер и протектор. Все просто и ясно как божй день. А вот если HEX-Rays хотяб ARM7 понимать то думаю , что появится )

| Сообщение посчитали полезным:

NoName пишет:
Это пока хорошо что в армовых девайсах еще нет понятия пакер и протект
Ну конечно, нету, все уже давно есть, ща понабегут

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

NoName:
Это пока хорошо что в армовых девайсах еще нет понятия пакер и протектор. Все просто и ясно как божй день.

ты ошибаешься, есть. возьми, например, x-plore под s60v3 и посмотри насколько там "Все просто и ясно как божй день."

| Сообщение посчитали полезным:

Здравствуйте товарищи!
Я использую Hex-rays для декомпиляции старенькой игрушки Diablo I, хочется восстановить её исходники и конкретно переписать, улучшить так сказать. Примерно уже месяц ковыряюсь в IDA Pro 5.2 и использую Hex-rays decompiler v1.0. Могу написать небольшой отчётик по нему:
Плюсы.
Вообще штука замечательная с одной стороны, позволяет не зашумлять голову всякими непонятными асмовыми аббревиатурами и именами регистров, и вообще получить кой какой исходник. Позволяет производить эквивалентные преобразования (например изменение типа) в окне просмотра декомпилированной функции.
Минусы.
1. Если в составе индекса при обращении к массиву фигурирует отрицаельное число то IDA почему то иногда думает что обращение идёт к граничищим с ним массивам.
2. Почемуто прототип функции (да и переменных тоже) указанный мной например в окне дизасемблера не соответствует тому который есть в окне декомпилятора??.... т.е. в базе IDA существуют двойная прототипизация
3. Если декомпилировать функции по отдельности по кнопке F5 то прототипы функций вызываемых внутри оказываются недоопределенными (ну скорее всего изза того что нет скрытой иерархической декомпиляции дерева вызовов)
4. Недекомпилируются асм операции с плавающей точкой и ещё некоторые типа XLAT, они остаются в декомпилированном сишнике ввиде асмовых вставок, но я боюсь что это не будет работать, т.к. при компицияции сишного исходника регистры будут использоваться уже подругому
5. Забавно но если декомпилировать весь екзешник по кнопке Ctrl+F5 два раза то первый сишник будет отличаться от второго (хорошо что последующие не отличаются от второго)
5. И самая большая беда, то что не декомпилируется сегменты констант и данных, генерятся только прототипы для них (extern ...), изза этого приходится прикомпиливать к проекту ассемблерный сегмент данных и констант, и естественно надо дописать подчеркивание к именами что бы они были видны из сишных исходников.
6. Что меня бесит , то что нет никакой возможности коммандной работы с IDA Pro. Никак нельзя мержить изменения в базе idb.

Hex-rays сделали уже два апдейта для декомпиллера но я их не могу скачать, может они у кого есть??? Это облегчило бы мне жизнь

Для справки: щас у меня в проекте примерно 2000 переменных и массивов и ещё 2000 функций, декомпилированный исходник на С имеет около 137 000 строк.

| Сообщение посчитали полезным:

Комрады, подскажите пожалуйста.. как открыть старые базы(.idb)? В частности нужно открыть в 5.2 базу от 4.8... ругаетсо типа (не могу конвертировать и закрываетсо).. есть какой-нить солюшин?

| Сообщение посчитали полезным:

Styler:
Комрады, подскажите пожалуйста.. как открыть старые базы(.idb)? В частности нужно открыть в 5.2 базу от 4.8... ругаетсо типа (не могу конвертировать и закрываетсо).. есть какой-нить солюшин?

поставь фикс от Team UNiQUE (ссылки есть на второй странице)

или руками поправь как infern0 на первой странице написал:


remove "..by pirate version.."

ida.wll
000F05F9: D0 D1

ida64.wll
0010DF31: CC CD

| Сообщение посчитали полезным:

2 intro:
Спасибо, но не помогло.. пишет "данный тип бызы не поддерживается"

| Сообщение посчитали полезным:

Есть у кого-нить живая ссылка на 4.9? говорят через нее можно преодолеть этот порог 4.8->(4.9/5.x)

| Сообщение посчитали полезным:

доброе время суток
меня попросили взломать прогу для проца 80186
1. никак не могу заставить ida pro 5.2 сегментировать по 0xFFFF, т.е. на 16 битные сегменты
2. переходы делает так
seg000:20113 jmp near ptr unk_2011B
где seg000:02C4 unk_102C4 db 0FFh просто переменная
реально должно быть seg000:20113 jmp $ + 8 (примерно)
т.е. адрес 2011B он определеяет правильно но делает из нее переменную....
тоже самое с вызовами подпрограмм
прога более 500 кило, а текст 1.5 мега, пробовал вручную УХХХХХ...
как можно заставить его работать правильно, я перепробовал все что смог придумать

p.s. я не новичок, скорее старик, но с последнего взлова прошло уйма времени (10 лет), инструмент поменялся
Помогите чем можете
спасибо

| Сообщение посчитали полезным: