Сейчас на форуме: CDK123, sashalogout, bartolomeo, artyavmu (+9 невидимых)

 eXeL@B —› Софт, инструменты —› DataRescue IDA Pro Advanced 5.2.0.908 + WinCE Debugger 5.0 + SDK
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение

Ранг: 29.8 (посетитель), 9thx
Активность: 0.020
Статус: Участник

Создано: 01 декабря 2007 18:01 · Поправил: Модератор
· Личное сообщение · #1

Группа YAG зарилизила

IDA Pro Advanced v5.2 with WinCE v5.0 debugger

DataRescue.IDA.Pro.Advanced.v5.2
www.badongo.com/file/5378386
rapidshare.com/files/73564287/idpa.rar.html

DataRescue.IDA.Pro.Advanced.v5.2.SDK
www.badongo.com/file/5378219
rapidshare.com/files/73559854/kds.rar.html

Hex-Rays.Decompiler.v1.0.for.DataRescue.IDA.Pro.Advanced.v5.2
rapidshare.com/files/73559126/yaghexrs.zip.html

DataRescue.IDA.Pro.Advanced.v5.2.Linux
www.badongo.com/file/5377855
rapidshare.com/files/73554357/yagidpl.rar.html

DataRescue.IDA.Pro.Advanced.v5.2.MacOSX
www.badongo.com/file/5378097
rapidshare.com/files/73558620/adokvnonb.rar.html



Ранг: 481.4 (мудрец), 109thx
Активность: 0.180
Статус: Участник
Тот самый :)

Создано: 24 декабря 2007 16:07
· Личное сообщение · #2

шрифты на месте...

охренеть, это ж надо уметь так сделать дебагер, чтобы он зависел от шрифтов...

-----
Реверсивная инженерия - написание кода идентичного натуральному





Ранг: 124.7 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 25 декабря 2007 05:40
· Личное сообщение · #3

Hexxx
попробуй сделать reset desktop
у меня почти такое каждый раз происходит, пропадает окно disasm-а, остальное все на месте



Ранг: 4.8 (гость)
Активность: 0.010
Статус: Участник

Создано: 05 января 2008 00:55
· Личное сообщение · #4

Hexxx пишет:
охренеть, это ж надо уметь так сделать дебагер, чтобы он зависел от шрифтов...


Гадство, да, из-за того что подсказки не вырисовываются как надо, пришлось с CrossOver ставить в VMware IDA ;)




Ранг: 133.2 (ветеран), 44thx
Активность: 0.120
Статус: Участник
bbs.pediy.com

Создано: 05 января 2008 17:27
· Личное сообщение · #5

Hex-Rays 02 Jan 08

hexblog.com/2008/01/better_user_interface_for_decompiler.html

We are glad to release a new version of the Hex-Rays decompiler! Highlights of this build:
improved usability
support for unusual calling conventions
better handling of obfuscated code
The most important improvement is the user interface. Now the decompiler is at your fingertips at all times, the same way as the graph view. Remember that you can toggle graph-text views in IDA with one keyboard hit? For the decompiler you can use the Tab key: it toggles between the disassembly and pseudocode views.
For those of you who prefer to see both the decompiler output and disassembler output in the same window, we added the "copy to disassembly" command. It just does what its names says: copies the pseudocode text to the disassembly window. You can see both outputs simultaneously: mapping of low level assembly idioms to high level constructs is made as transparent as possible.
With this build, you will be able to open multiple pseudocode windows. This will be especially useful for long functions: just open a separate window for each called function by Ctrl-double clicking on function names. The long function will stay intact in its own window and you won't lose time by reanalyzing it upon each return.
One more command to handle code complexity: ability to hide parts of code. The new hide/unhide command allows you to collapse a multiline statement into just one line. Collapsing unimportant sub-statements reveals the global structure of the decompiled function.
We also added other things to make the life easier: the command to jump to xrefs, better status line information, support for the __spoiled keyword, and more heuristic rules to the analyzer.


Better user interface and improved robustness (click for more info)
+ multiple pseudocode windows can be opened
+ new command: copy c text to disassembly window (available from the right-click menu)
+ new command: the tab key toggles between the disassembly and pseudocode windows
+ new command: hide/unhide statements (if,loops,switch,blocks)
+ new command: jump to xref; since the pseudocode addresses do not map exactly to disassembly addresses, the decompiler jump to the nearest address if an exact match can not be found
+ status line of pseudocode window displays the name of the current function
+ spoiled<> keyword is supported by the decompiler (maybe there are some cases when it is ignored, requires more thourough testing)
+ more intelligent handling of tail calls
+ more intelligent detection of thiscall/fastcall function types
+ improved detection of saved eax/edx pairs: now such functions are correctly detected as returning 'void'
bugfix: delieberately obfucsated code could cause interrs
bugfix: wrong sp trace could lead to interr; now it leads to 'lvar allocation failure'
bugfix: output code for the SF flag was incorrect. the code was "x<y" while it must be "(x-y)<0"
bugfix: attempt to decompile an uncompletely analyzed function could lead to interr (because of incorrect sp values); now decompiler gracefully fails in the situation
bugfix: function pointers can not be subtracted or compared but hexrays was doing it; added necessary casts to the output
bugfix: some linux calls (accepting arrays as parameters) could cause interr
bugfix: if the decompiled code was accessing undefined registers, the decompiler could interr



Ранг: 481.4 (мудрец), 109thx
Активность: 0.180
Статус: Участник
Тот самый :)

Создано: 05 января 2008 20:22
· Личное сообщение · #6

linhanshi пишет:
bugfix: attempt to decompile an uncompletely analyzed function could lead to interr (because of incorrect sp values); now decompiler gracefully fails in the situation

Ахрененный багфикс...

-----
Реверсивная инженерия - написание кода идентичного натуральному




Ранг: 4.8 (гость)
Активность: 0.010
Статус: Участник

Создано: 05 января 2008 21:01
· Личное сообщение · #7

Так а глупый вопрос, где это добро берется-то?




Ранг: 155.4 (ветеран)
Активность: 0.140
Статус: Участник
Робо-Алкаш

Создано: 05 января 2008 21:37
· Личное сообщение · #8

ppc, какое добро? Хекс - рэйз? пока нигде не берется... вот ЯГИ возьмуцца тада будет с рапиды брацца)

-----
Researcher




Ранг: 4.8 (гость)
Активность: 0.010
Статус: Участник

Создано: 05 января 2008 23:43
· Личное сообщение · #9

Ну да Хекс - рэйз.. Чего вон linhanshi всякими релнотами дразнится-то ;)



Ранг: 1.1 (гость)
Активность: 0=0
Статус: Участник

Создано: 24 января 2008 02:22
· Личное сообщение · #10

infern0 пишет:
а у тебя случайно системные шрифты не установлены в 120% ? писали что из-за этого наблюдаются серьезные глюки в дебаггере.

Где именно 120%?
У меня дебаггером невозможно пользоваться - сразу после аттача выдаёт ошибку, перестаёт реагировать на большинство команд и вешает процесс.



Ранг: 481.4 (мудрец), 109thx
Активность: 0.180
Статус: Участник
Тот самый :)

Создано: 25 января 2008 21:30
· Личное сообщение · #11

virusman пишет:
перестаёт реагировать на большинство команд и вешает процесс

У меня точно так же оно ся ведет но не при атаче, а именно при запуске.

-----
Реверсивная инженерия - написание кода идентичного натуральному




Ранг: 43.7 (посетитель), 2thx
Активность: 0.020
Статус: Участник

Создано: 26 января 2008 11:58 · Поправил: dosikus
· Личное сообщение · #12

По ссылкам в шапке вместо линукс качаеться мак версия .
Выложите плиз на линукс.

Извиняюсь сам напутал...



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 11 февраля 2008 09:58
· Личное сообщение · #13

Народ...
Ламерский такой вопросик:
Этим декомпилятором нельзя никак бинарники (.bin), а точнее прошивку телефона раскомпильнуть?



Ранг: 38.6 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 11 февраля 2008 10:02
· Личное сообщение · #14

Dobby007
Определи тип процессора, который используется в телефоне(думаю ARM там) и грузит в ida файл, выбрав нужный процессор.
Для иды это файл будет безформатный. Нужно ещё покопаться на предмет начала кода в этом файле.



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 11 февраля 2008 10:19 · Поправил: Dobby007
· Личное сообщение · #15

Тип проца - Arm710a. Да это я все знаю. Я уже копался в проше. Делал патчи и т.п. Только как-то тяжело код ассемблера разбирать по строчки. Думал СИ было б по-приятнее...
Только вот проблема в том что для декомпляции обычных ЭКЗИШНИКОВ нужно как я понял нажать CTRL-F5 или просто F5 на нужной функции, аздесь хоть клаву сломай, нажимая эту кнопку - ничего не происходит...



Ранг: 481.4 (мудрец), 109thx
Активность: 0.180
Статус: Участник
Тот самый :)

Создано: 11 февраля 2008 10:19
· Личное сообщение · #16

Dobby007 пишет:
прошивку телефона раскомпильнуть

В hexrays - нет.

-----
Реверсивная инженерия - написание кода идентичного натуральному




Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 11 февраля 2008 10:24
· Личное сообщение · #17

ну если не в hex-rays то что еще можете посоветовать или это пустые только надежды: поглядеть прошивку на языке СИ?



Ранг: 49.7 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 11 февраля 2008 14:45
· Личное сообщение · #18

Dobby007, для любого процессора получить исходный код из бинарника невозможно. Только в .NET и Java позволяют восстановить сырцы с большой степенью достоверности. И то не всегда.



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 12 февраля 2008 06:59
· Личное сообщение · #19

ViSoR пишет:
для любого процессора получить исходный код из бинарника невозможно.

Ну я впринципе был уверен в этом до того момента как увидел ХексРэйс. Как увидел - появилась слабая надежда....
Ну ладно... Все равно спасибо...




Ранг: 141.4 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 12 февраля 2008 08:04
· Личное сообщение · #20

Dobby007, как только в hexrays появится поддержка архитектуры ARM - это будет возможно, а пока остаётся разбирать арм-асм. без этого всё-равно далеко не уйдешь.




Ранг: 631.1 (!), 62thx
Активность: 0.370.01
Статус: Участник
Автор VB Decompiler

Создано: 12 февраля 2008 14:54
· Личное сообщение · #21

Dobby007 пишет:
ну если не в hex-rays то что еще можете посоветовать или это пустые только надежды: поглядеть прошивку на языке СИ?


Попробуй BinEdit. Он бесплатный и комментирует каждую строку ARM ассемблера причем по русски:

binedit.sgh.ru/

ViSoR пишет:
для любого процессора получить исходный код из бинарника невозможно. Только в .NET и Java позволяют восстановить сырцы с большой степенью достоверности. И то не всегда.


Забыл добавить P-Code VB

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!




Ранг: 49.7 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 12 февраля 2008 17:14
· Личное сообщение · #22

В любом случае перевод в инструкции процессора это более деструктивная операция, чем перевод в некий байт-код виртуальных машин .NET, Java, VB и сотоварищей. Хотя бы потому, что теряется деление на код и данные. Тот же .NET IL чётко разделяет данные и код. И команды чётко видны, а не как в обычном дизасме - сместился на один байт и всё превращается в мусор.



Ранг: 6.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 18 февраля 2008 11:53
· Личное сообщение · #23

intro

Это пока хорошо что в армовых девайсах еще нет понятия пакер и протектор. Все просто и ясно как божй день. А вот если HEX-Rays хотяб ARM7 понимать то думаю , что появится )




Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM M@sTeR

Создано: 18 февраля 2008 12:25
· Личное сообщение · #24

NoName пишет:
Это пока хорошо что в армовых девайсах еще нет понятия пакер и протект

Ну конечно, нету, все уже давно есть, ща понабегут

-----
Get busy living or get busy dying ©





Ранг: 141.4 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 18 февраля 2008 13:19
· Личное сообщение · #25

NoName:
Это пока хорошо что в армовых девайсах еще нет понятия пакер и протектор. Все просто и ясно как божй день.


ты ошибаешься, есть. возьми, например, x-plore под s60v3 и посмотри насколько там "Все просто и ясно как божй день."



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 13 марта 2008 16:26 · Поправил: Illusion
· Личное сообщение · #26

Здравствуйте товарищи!
Я использую Hex-rays для декомпиляции старенькой игрушки Diablo I, хочется восстановить её исходники и конкретно переписать, улучшить так сказать. Примерно уже месяц ковыряюсь в IDA Pro 5.2 и использую Hex-rays decompiler v1.0. Могу написать небольшой отчётик по нему:
Плюсы.
Вообще штука замечательная с одной стороны, позволяет не зашумлять голову всякими непонятными асмовыми аббревиатурами и именами регистров, и вообще получить кой какой исходник. Позволяет производить эквивалентные преобразования (например изменение типа) в окне просмотра декомпилированной функции.
Минусы.
1. Если в составе индекса при обращении к массиву фигурирует отрицаельное число то IDA почему то иногда думает что обращение идёт к граничищим с ним массивам.
2. Почемуто прототип функции (да и переменных тоже) указанный мной например в окне дизасемблера не соответствует тому который есть в окне декомпилятора??.... т.е. в базе IDA существуют двойная прототипизация
3. Если декомпилировать функции по отдельности по кнопке F5 то прототипы функций вызываемых внутри оказываются недоопределенными (ну скорее всего изза того что нет скрытой иерархической декомпиляции дерева вызовов)
4. Недекомпилируются асм операции с плавающей точкой и ещё некоторые типа XLAT, они остаются в декомпилированном сишнике ввиде асмовых вставок, но я боюсь что это не будет работать, т.к. при компицияции сишного исходника регистры будут использоваться уже подругому
5. Забавно но если декомпилировать весь екзешник по кнопке Ctrl+F5 два раза то первый сишник будет отличаться от второго (хорошо что последующие не отличаются от второго)
5. И самая большая беда, то что не декомпилируется сегменты констант и данных, генерятся только прототипы для них (extern ...), изза этого приходится прикомпиливать к проекту ассемблерный сегмент данных и констант, и естественно надо дописать подчеркивание к именами что бы они были видны из сишных исходников.
6. Что меня бесит , то что нет никакой возможности коммандной работы с IDA Pro. Никак нельзя мержить изменения в базе idb.

Hex-rays сделали уже два апдейта для декомпиллера но я их не могу скачать, может они у кого есть??? Это облегчило бы мне жизнь

Для справки: щас у меня в проекте примерно 2000 переменных и массивов и ещё 2000 функций, декомпилированный исходник на С имеет около 137 000 строк.



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 17 марта 2008 22:37
· Личное сообщение · #27

Комрады, подскажите пожалуйста.. как открыть старые базы(.idb)? В частности нужно открыть в 5.2 базу от 4.8... ругаетсо типа (не могу конвертировать и закрываетсо).. есть какой-нить солюшин?




Ранг: 141.4 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 18 марта 2008 10:02
· Личное сообщение · #28

Styler:
Комрады, подскажите пожалуйста.. как открыть старые базы(.idb)? В частности нужно открыть в 5.2 базу от 4.8... ругаетсо типа (не могу конвертировать и закрываетсо).. есть какой-нить солюшин?


поставь фикс от Team UNiQUE (ссылки есть на второй странице)

или руками поправь как infern0 на первой странице написал:


remove "..by pirate version.."

ida.wll
000F05F9: D0 D1

ida64.wll
0010DF31: CC CD




Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 18 марта 2008 15:01
· Личное сообщение · #29

2 intro:
Спасибо, но не помогло.. пишет "данный тип бызы не поддерживается"



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 18 марта 2008 16:15
· Личное сообщение · #30

Есть у кого-нить живая ссылка на 4.9? говорят через нее можно преодолеть этот порог 4.8->(4.9/5.x)



Ранг: 2.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 14 мая 2008 08:52
· Личное сообщение · #31

доброе время суток
меня попросили взломать прогу для проца 80186
1. никак не могу заставить ida pro 5.2 сегментировать по 0xFFFF, т.е. на 16 битные сегменты
2. переходы делает так
seg000:20113 jmp near ptr unk_2011B
где seg000:02C4 unk_102C4 db 0FFh просто переменная
реально должно быть seg000:20113 jmp $ + 8 (примерно)
т.е. адрес 2011B он определеяет правильно но делает из нее переменную....
тоже самое с вызовами подпрограмм
прога более 500 кило, а текст 1.5 мега, пробовал вручную УХХХХХ...
как можно заставить его работать правильно, я перепробовал все что смог придумать

p.s. я не новичок, скорее старик, но с последнего взлова прошло уйма времени (10 лет), инструмент поменялся
Помогите чем можете
спасибо


<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Софт, инструменты —› DataRescue IDA Pro Advanced 5.2.0.908 + WinCE Debugger 5.0 + SDK
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати