IDA Pro 6.0 Новые возможности



Интерфейс новой IDA теперь использует библиотеку Qt.
В связи с этим наконец-то можно в нормальном виде использовать её в макоси.
Работа автора Explorer Suite (CFF Explorer), Даниэля Пистелли (Daniel Pistelli) не прошла даром!
В новой версии будут присутствовать обе версии интерфейса: старый idag и новый idaq.

Картинки для затравки (кликабельные):

Интерфейс в Linux:


Интерфейс в Mac OS:


Интерфейс в Windows:


Источник: IDA Pro Disassembler - Version 6.0, там же полный список нововведений.

Скачать IDA Pro 6: пока недоступно

-----
EnJoy!

| Сообщение посчитали полезным:

BAHEK пишет:
Уже есть
что естЬ?

| Сообщение посчитали полезным:

sendersu, я немного ошибся, подумал что речь шла о демке(

| Сообщение посчитали полезным:

Coderess пишет:
Так можно юзать и старую
так это с 5.5 началось

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Изначально разговор шёл о выходе версии 6.0 . Человек ошибочно заявил о наличии фриварной версии 6.0. Ему объяснили что он ошибся, указав на то что демка 6.0 это не фриварная версия. Всё ...

| Сообщение посчитали полезным:

К сожалению, первое, что бросается в глаза, относится к плохой новости. Ильфак, в шестой версии, заблокировал нашу лазейку по сохранению листинга кода через буфер обмена. То, что он сделал это только в последней версии, заставляет подозревать его в чтении наших предыдущих статей (см. erfaren.narod.ru), где мы описывали этот способ работы с дизассемблерным кодом . Т.е. копировать можно, но не более нескольких килобайт, что для многомегабайтных «простынь» кода совершенно не приемлемо. И что нам теперь делать? Как тестировать его любимое детище? Не покупать же данную программу только ради тестирования! Конечно, выход в данном случае мы все-таки найдем, обратив внимания на средства автоматизации IdaPro. А если наш любимый автор вырубит поддержку скриптов и плагинов в следующей версии? Допустим, мы опять найдем выход. Тогда Ильфак может пойти по пути фирмы «1С», которая уже давно не выпускает демо-версии своих продуктов, только демо-ролики . Так что запасайтесь на всякий случай нынешними шестыми демо-версиями впрок, а то чем черт не шутит .

| Сообщение посчитали полезным:

А зачем нам 6 демоверсия если полюбас ее скоро(?) скардят и выложат?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
А зачем нам 6 демоверсия если полюбас ее скоро(?) скардят и выложат?

Если почитаете мои статьи, то поймете зачем. Меня интересует восстановление кода на уровне ассемблера. Т.е. чтобы дизассемблерный код можно было скомпилировать обратно и получить работоспособный бинарник без явных проблем. Зачем это делать это уже другой вопрос. Понятно, чем выше версия «Иды», тем лучше, как правило, качество дизассемблирования. Версия 5.7 demo в этом смысле меня устраивает полностью. Но раз есть версия 6.0, то грех ее не протестировать. Можно попытаться в шестерке воспользоваться скриптами, даже с учетом того, что Ильфак заблокировал функцию



которая является макро обёрткой для функции



Большую часть листинга я уже научился сохранять. В худшем случае, можно воспользоваться плагинами для сохранения и обработки листинга «Иды». Но боюсь, что Ильфак в следующих демо версиях отключит эти возможности .

| Сообщение посчитали полезным:

ну ильфак загнул речь www.hexblog.com/?p=233
причем, обоснование почему они подняли цену какое то высосаное из пальца

| Сообщение посчитали полезным:

Erfaren пишет:
Если почитаете мои статьи, то поймете зачем. Меня интересует восстановление кода на уровне ассемблера. Т.е. чтобы дизассемблерный код можно было скомпилировать обратно и получить работоспособный бинарник без явных проблем.
Почитал, так и не понял зачем именно демо версия. Или вы на любой вопрос отвечаете про ваши статьи, не важно какой вопрос задан?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Erfaren пишет:
копировать можно, но не более нескольких килобайт,
и что мешает найти ету проверку и отрубить?
заодно и с пиплами поделиться (идея)

| Сообщение посчитали полезным:

PE_Kill пишет:
Почитал, так и не понял зачем именно демо версия. Или вы на любой вопрос отвечаете про ваши статьи, не важно какой вопрос задан?

Хорошо, скажу кратко. Меня интересует качество дизассемблирования. Как правило, новая версия дизассемблирует лучше, чем старая. И демо здесь не ограничение. Ограничение состоит в невозможности сохранять и загружать результаты работы, ограничено время работы, количество используемых типов программ, но для Win32, все есть и т.п. по мелочам. Прежде всего, меня интересует дизассемблерный листинг. Сохраняя его через буфер обмена, я, в конце концов, научился получать корректный перекомпилированный бинарный файл. В последней статье приводится 10 подобных проектов, которые Вы можете протестировать сами. Мне удалось даже перекомпилировать и запустить почти трехсот килобайтный файл tsadmin.exe. Правда данные в правом окне пока не отображаются, однако сам факт запуска такой большой перекомпилированной программы лично меня впечатляет. Просто перекомпилировать удалось даже мегабайтную dll-ку comctl32.dll v.6.0. Некоторые ее экспортируемые функции удалось даже выполнить, однако до полного тестирования дело еще не дошло. Т.е. направление лично для меня очень интересное. Имея дело с многомегабайтными простынями дизассемблерного кода, очень важно иметь наиболее «свежую» «Иду», чтобы меньше корячится с исправлениями кода. Вот почему важна именно демо версия, потому, что последняя версия не «демой» и бесплатной быть не может. Это раз. А второе, зачем нужна коммерческая версия, если лично меня и демо устраивает по своим возможностям.

| Сообщение посчитали полезным:

sendersu пишет:
и что мешает найти ету проверку и отрубить? заодно и с пиплами поделиться (идея)

Ничего не мешает. Только этот метод я оставляю на крайний случай. Ведь я пишу статьи на подобные темы, и меня не прикалывают возможные придирки по нарушению «права аренды цифровой копии», точнее, «закона об интеллектуальной собственности».

В данном случае решение можно получить с помощью скриптов и плагинов, что по разным причинам является более привлекательным.

В скриптах есть хорошая функция GetCurrentLine(), которая работает и в шестой демо «Иде». Она возвращает строку листинга, в которой находится экранный курсор. Если бы удалось программно перемещать этот курсор по всему листингу, то проблема сохранения кода была бы решена мгновенно. Однако листинг «Иды» это не линейный набор строк, а «упакованное» плоское дерево, узлы которого могут содержать разные типы строк с данными и кодом. Так вот мы можем перемещаться программно между различными типами узлов, которые Ильфак называет «элементами». Но с помощью функции GetCurrentLine() может быть выведена только одна из строк узла. Чтобы «достучаться» до всех остальных строк, нужно обрабатывать флаги данного элемента. Эти флаги дают информацию о примерно десятке различных типов строк и массивов некоторых типов. Ко всем из них в принципе можно получить доступ, найдя в скриптовом движке походящую функцию данного типа строки или массива этого типа строк. Написанием подобного скрипта, я как раз и занимаюсь. Когда он будет готов, поделюсь кодом. Естественно, что для плагинов возможностей на порядок больше. Поэтому плагинами также собираюсь заняться всерьез. Обо всем этом и будет моя четвертая статья, на упомянутом выше сайте .

| Сообщение посчитали полезным:

Erfaren пишет:
Хорошо, скажу кратко. Меня интересует качество дизассемблирования. Как правило, новая версия дизассемблирует лучше, чем старая.
а покажите пример в картинках?
потому что я к примеру пользуюсь 5.2 и она меня устраивает
и сравнивая всякие демо и не демо что на паблике
новые версии ничем не лучше
разве что флирт обновляется

| Сообщение посчитали полезным:

reversecode пишет:
а покажите пример в картинках?потому что я к примеру пользуюсь 5.2 и она меня устраиваети сравнивая всякие демо и не демо что на пабликеновые версии ничем не лучшеразве что флирт обновляется

Думаю, что Вы по-своему правы. Обычный пользователь не гоняет «Иду» на 100% ее возможностей. Я тоже использую обычно только майкрософтовские файлы под Win32. Впрочем, всегда можно глянуть исправленный баг-лист новой версии «Иды» и тогда сказать точно, нужна она или не очень. Однако чисто психологически в новой версии работать приятней. Вот, например, меня все время «задирал» Борландовский интерфейс «Иды». Сейчас они перешли на Qt и одно это вызывает удовлетворение. В сети есть полноценная версия 5,5 с хекс-рэйсом и сдк. Что Вам мешает перейти на нее?

| Сообщение посчитали полезным:

Erfaren
вы меня не поняли
вы же говорите что новая версия ida лучше дизасмит
показать пример можете?
что вот мол одна версия на ваш выбор дизасмит так
а другая дизасмит лучше
а то получается это только ваше желание так думать что новая лучше
а на самом деле ничего такого

5.5 я не использую потому что не нравится
а хексрейс я взял с нее и использую в 5.2

| Сообщение посчитали полезным:

reversecode - лично я никогда не горел желанием пользовать распоследние демо, но 5.5 на ARM объективно лучше.
Простой пример - открываем дамп прошивки для ARM проца (просто бинарный код без стандартного формата).
5.2 его грузила, и всё, привет - дальше всё решалось скриптами (распознавание кода и данных), в то время как 5.5 анализирует его и 90% кода находит самостоятельно - т.е. отделяет код от данных.
Не сказать что раньше было вообще никак, но стало удобнее.
Т.е. если бы была возможность, я бы на шестёрку наверное перешёл, а демо - нафига оно надо?
Чтобы потом решать проблемы как листинг сохранить?
Т.е. плюсы новой версии лично для меня не компенсируют ограниченность демо версии, а для кого-то видимо компенсируют...
PS: на х86 сравнивать особой пользы нет, это основная архитектура и там запилили если не всё, то очень многое - от версии к версии изменения минимальны.

| Сообщение посчитали полезным:

cppasm
новые процы да
новые команды в процах да

но Erfaren использует демо только для win32
причем весь его реверс это запуск хексрейса на автомате
и работа готова
Erfaren
я правильно понимаю?
а если не использовать хексрекс то дизасм точно такой же
ну разные версии ida по разному могут или не могут определить стек и аргументы
но я бы не сказал что в новых версиях это улучшается
скорее даже в некоторых наоборот
а что бы хексрейс работал правильно, то типы нужно выставлять
получается Erfaren ганяется за призрачным нично
потому что ему кажется

| Сообщение посчитали полезным:

reversecode пишет:
получается Erfaren ганяется за призрачным нично потому что ему кажется

Не буду спорить, потому что, действительно, я предполагаю, что новые версии лучше, а не утверждаю это. Чтобы проверить это, нужно скомпилировать дизассемблированный код в разных версиях и посмотреть, где меньше геморроя. Пока это влом делать. Но если удастся с помощью скриптов или плагинов автоматизировать этот процесс, то почему бы не проверить это предположение. Короче, может быть, в одной из будущих статей я приведу этот анализ работы разных версий для Win32.

| Сообщение посчитали полезным:

Ильфак поднял планку фриварности. Теперь последняя фриварная версия не 4.9, а 5.0.

www.hex-rays.com/idapro/idadownfreeware.htm

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Ух ты, сталобыть графы и отладчик... Пересесть что ли на легальную иду?

| Сообщение посчитали полезным:

Полезность 5.0 мизерная для АРМ, а по анализу функций с 5.5 вообще теряет смысл, и вообще хочется декомпилятора и несколько очень важных багфиксов

| Сообщение посчитали полезным:

kp0m пишет:
Полезность 5.0 мизерная для АРМ
Полезности для ARM нет вообще, т.к. все free версии всегда только для х86, остальные процы выброшены.
То же самое с отладкой.

lacks support for many processors, file format, debugging etc..

| Сообщение посчитали полезным: kp0m

cppasm пишет:
остальные процы выброшены.
пишем open source процессорные модули?

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Ну как-бы если б вообще не было, то можно и писать.
А так проще 5.5 карженую использовать - время и так есть куда девать.

| Сообщение посчитали полезным:

Чет не получилось дебегер удаленный запустить на фриварной мак версии, кто запускал?

| Сообщение посчитали полезным:

int
Ух ты, сталобыть графы и отладчик... Пересесть что ли на легальную иду?
+1, стало возможным использовать фриварную иду

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Читайте описалово на странице загрузки.
Нет там отладчика, она урезана по самое не балуйся.
Это не та IDA 5.0 которая когда-то была зарелизена, в free версии все плюшки поотключали, включая отладчик и процессорные модули отличные от х86.

| Сообщение посчитали полезным:

А я то понадеялся)) Ясно

Как вам господа новый интерфейс?))

| Сообщение посчитали полезным:

Erfaren пишет:

sendersu пишет:
и что мешает найти ету проверку и отрубить? заодно и с пиплами поделиться (идея)

Ничего не мешает. Только этот метод я оставляю на крайний случай. Ведь я пишу статьи на подобные темы, и меня не прикалывают возможные придирки по нарушению «права аренды цифровой копии», точнее, «закона об интеллектуальной собственности». В данном случае решение можно получить с помощью скриптов и плагинов, что по разным причинам является более привлекательным.В скриптах есть хорошая функция GetCurrentLine(), которая работает и в шестой демо «Иде». Она возвращает строку листинга, в которой находится экранный курсор. Если бы удалось программно перемещать этот курсор по всему листингу, то проблема сохранения кода была бы решена мгновенно. . .

Ну, вот! Не прошло и полгода и способ сохранения листинга шестой «Иды» найден!

Решение оказалось относительно простым, но направлений было перепробовано множество. С помощью стандартных возможностей IDC script удается свободно вывести 90% текста. Затык у меня был по некоторым видам комментариев. Потом решил перепробовать недокументированные функции скриптового движка. Например, такие:

_peek(); _poke();_lpoke(); _call(); _time(); ____()

и другие. По последней функции информации в Интернете – ноль! Путем экспериментов, удалось выяснить, что эта функция то же самое, что и функция IDA SDK:



при выборе следующих параметров:



Я проверял, действительно, эти функции всегда возвращают одно и тоже значение. Но зачем нужна эта функция в скриптовом движке «Иды» - совершенно непонятно!

Первые четыре недокументированные функции вполне хороши для манипуляций с физической памятью, но функция _call() не принимает параметров, следовательно, для нее нужно писать обертку-патч где-нибудь в физической памяти, что довольно геморно для скриптов. Проще сразу перейти на плагины и не париться. Тем более что в скриптах доступны только порядка 500 функций, а в плагинах – 1500!

Перейдем теперь к собственно полученному решению, как не трудно догадаться, с помощью плагинов.

За основу мы взяли плагин getlines.cpp из IDA SDK. Кто бы мог подумать, что он там есть? А я облазил весь Интернет, в поисках прототипа .

Вот полученный результат:



Вы можете компилировать этот файл обычными способами, но для разнообразия я использовал командный файл [/b]plw.cmd[/b]. Выставьте только свои параметры окружения. Да, и не забудьте про ida.lib из SDK. У меня он находится уровнем выше (чтобы быть общим для разных плагинов). Если у вас его нет, то сгенерите его сами из ida.wll, по технологии, описанной в моей последней статье (ссылки были выше). Правда, где вы возьмете отладочные символы для этого файла, я не знаю, разве, что из самой ida.wll .



Еще нужен файл plugin.def, общий для всех проектов:



Если все сделаете правильно, то получите плагин plugin.plw. Я его просто переименовал в GetListing.plw. Надеюсь, вы знаете, как пользоваться плагинами . Но можно вызвать данный плагин и с помощью скрипа:



(точку с запятой можно и не писать )

По умолчанию, «Ида» ищет в папке plugins.

Архивчик с примером прилагается.

215f_21.12.2010_CRACKLAB.rU.tgz - GetListingByErfaren.zip

| Сообщение посчитали полезным: gazlan, _ruzmaz_, froloff

cppasm пишет:
Нет там отладчика, она урезана по самое не балуйся.
Скачай и посмотри, читатель)

P.S. Отладчик во фриварке есть уже давно.

| Сообщение посчитали полезным: