Был же топик где спрашивали всё по IDA, что то найти его не могу, может прилепить в этом подфоруме?

Вопрос такой. В делфи есть такое понятие как локальная процедура. Эта процедура описывается в разделе var и имеет доступ ко всем переменным родительской процедуры. Для доступа к переменным генерируется такой код:


Проблема в том, что IDA не понимает, что NestedProc через ebp работает со стеком основной процедуры. Как это поправить? Вот пример:


Вот IDA разобрала основную процедуру:


А вот так она видит процедуру NestedProc:


-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

reversecode все выходные пытался под нужное ядро скомпилить Linux server, установил все пакеты нужные - итог ошибка 127 в idamake.pl и пиз...ц. видимо все таки нормально sdk и server работает не с такими старыми ядрами

| Сообщение посчитали полезным:

Имею дизассеблированный IDA-й кусок кода:

Тут (.text:00401C68) понимаю что имеет меcто вызов функции CSliderCtrl::SetRange с 3-мя значениями INT(начальное=0, максимальное=2710h=10000d, шаг=1). Значение regECX после интрукции

равно = 0126A154h
т.е.:

Встал вопрос: какой ID у элемента "Slider" при вызове функции?

Тоже самое и выше при вызове CDialog::OnInitDialog. Значение regECX = 01269FF0h
т.е.:

какой ID у элемента диалогового окна содержащий элемент SLIDER?

| Сообщение посчитали полезным:

crackintosh
Что-то вы не туда копаете:
ecx = this - указатель на класс диалога, CSliderCtrl элемент окна диалога, его смещение в классе диалога - 0х164.
Чтобы найти ИД диалога нужно смотреть виртуальную функцию диалога DoModal(void), в которой диалог будет загружаться из ресурсов CDialogTemplate::Load(char const *) аргумент этой функции и есть ИД диалога. Если же нужен ИД CSliderCtrl, то его проще посмотреть в ресурсах соответствующего диалога.

-----
Everything is relative...

| Сообщение посчитали полезным:

Какое отношение имеют приведенные значения в регистре ЕСХ к АйДи?

ebp+var_AC - указатель на объект типа CDialog (адрес).
add ecx, 164h - смещение в объекте до поля типа CSliderCtrl (адрес).

ЗЫЫЫЫ: не успел...

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Цель такова: в окне несколько слайдеров.
По коду сверху не могу понять - к какому слайдеру обращается этот или иной кусок кода.
Как это определяется? Знаю что по ID. Тока как это в коде видно?

| Сообщение посчитали полезным:

crackintosh
Тока как это в коде видно?
Учите сначала MFC.

-----
Everything is relative...

| Сообщение посчитали полезным:

crackintosh пишет:
Знаю что по ID. Тока как это в коде видно?
Обращение к слайдерам идёт с помощью методов класса слайдер, в ecx передаётся указатель на определённый экземпляр слайдера. Если слайдеры являются членами класса-наследника диалог, то в экземпляре этого класса и хранятся указатели на слайдеры. Один вы нашли - add ecx, 164h от начала диалога. Друрие имеют другие смещения. Как определить нужный? Ищем вызов слайдерских фунок в диалоге, брякаемся, запоминаем смещение, меняем аргументы так, чтоб это было визуально видно, отпускаем. Визуально делаем вывод за какой слайдер отвечает указатель по запомненому смещению.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

Подскажите чем отличается idau.exe от idaw.exe?

| Сообщение посчитали полезным:

В очередной раз ковыряю прогу с OpenSSL. Имена функций понаходил, код стал хоть немного понятный, но хотелось бы и
структуры впихнуть. Я с IDA не слишком хорошо знаком, поэтому возник вопрос - можно ли где нибудь слить структуры под
OpenSSL и импортировать их как-то в IDA? Руками собирать их - дико долго

-----
Research For Food

| Сообщение посчитали полезным:

IDA умеет парсить .h файлы на предмет С/C++ структур(и возможно классов)
и превращать это все в свои структуры
можно на краний случай набить .h и потом его скормить IDA
enum тоже можно в .h впихнуть
только там есть глюк enum ... непомню уже какой

а еще хексрейс умеет по магической кнопочке тоже создавть структуры, криво правда
но иногда на скорую руку удобно

r_e
ну тогда проще уже сигнатуры по скомпиленой либе сделать, в каком из их формата сразу и структуры будут

| Сообщение посчитали полезным: daFix

Смотреть в сторону tilib. Там более конфигурируемый парсер.

-----
старый пень

| Сообщение посчитали полезным: daFix

cosinus пишет:
Подскажите чем отличается idau.exe от idaw.exe?
idau.exe может работать под досом

| Сообщение посчитали полезным:

reversecode
А причем тут либы? Эта тулза хедеры парсит.

-----
старый пень

| Сообщение посчитали полезным:

r_e
а в целом говрил, если мне память не изменяет
то кроме сигнатур помоему в флирт еще и структуры добавляются
и после определения сигнатуры - флирт может в структуры IDA запихать используемую стуктуру
мб я ошибаюсь и то с другой кактой технологие IDA я спутал, где совмещенно обнаружение+добавление стуктурных типов данных

| Сообщение посчитали полезным:

reversecode
Мне кажется ты путаешь. В сиг-файлах сигнатуры функций. Структуры добавляются только известные иде. А вот дополнительные структуры и енумы - в til файлах.

-----
старый пень

| Сообщение посчитали полезным:

reversecode TIL хранит информацию о типах: структурах, енумах, и функциях (формат вызова, типы возвращаемого значения и аргументов, их количество). SIG хранит только сигнатуры функций. Если сначала подгрузить нужный .til, а затем применить .sig, то IDA в автомате прекрасно все распознает (можно даже через .idc) . У меня это работает через userload.idc :


| Сообщение посчитали полезным:

В IDA можно создать хук на вызов API функции найдя ее в адресном пространстве и
установив на нее апаратный брекпоинт, будет ли это всегда срабатывать или стоит в некоторых случаях
использовать SoftIse и от чего это зависит.

| Сообщение посчитали полезным:

Кто-нибудь знает адекватный способ в IDC вытащить вещественные числа в строковой формат?

.data:0041A514 var_3_2 dd 3.2

Пробовал разные варианты, но все не то... Большинство функций для работы с памятью в IDA имеют тип string и long. Последний вытаскивает корректное значение, если бы оно было целым. А вот вещественный тип получить не получается.

Добавлено спустя 4 минуты
GetFloat помогла. Но ее блин нет в документации (точнее в индексе функций IDC)

Нашел здесь: https://www.hex-rays.com/products/ida/support/idapython_docs/idc-module.html

| Сообщение посчитали полезным:

To int

есть ещё GetDouble(ea) - вещественное 8 байт,
а GetFloat(ea) - 4 байта

все IDC-шные функции описаны в IDC.IDC, в хелпах хуже.

| Сообщение посчитали полезным:

Подскажите пожалуйста,
можно ли, и если да, то чем спрятать IDA от Themida?

| Сообщение посчитали полезным:

MadHacker

--> Ida Stealth ? <--

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: MadHacker

Разгребаю ROM с архитектуры на которой путем переключения страниц (2..15) по 16к разные части прошивки проецируются на одни и теже адреса (8000-BFFF), аналогично RAM имеет (0..7) страниц по 8к проецируемые на Е000-FFFF. Разбросал прошивку по страницам благодаря назначению поля Base при создании сегмента (https://www.hex-rays.com/products/ida/support/idadoc/508.shtml).
В дальнейшем необходимо чтобы для любых переключаемых страниц кода были видны первые две страницы 0000-7FFF (ядро системы), своя в адресах 8000-BFFF, ну и любая страница RAM.
Для этого ИМХО предназначена опция Edit->Segments->Change segment translation
https://www.hex-rays.com/products/ida/support/idadoc/521.shtml
Но сколько не крутил с этой опцией нормально ни один функционал не работает (O/Ctrl+O/Alt+R/Ctrl+R).
Команды типа:
op [mem],r и op r,[mem] еще как то удается разресолвить на нужные адреса, а команды со смещением в виде операнда типа mov r,offset val вообще не заводятся.
Может кто пользовал ИДУ для подобных задач и просветит?

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

так убеждаю всех что вышла 6.5. ida )))) есть часть багов реализованных именно посредством статики.... остальное - бред и нет поддеожки 64)))кому интересно пока могу дать отчет

| Сообщение посчитали полезным:

Кто-нибудь сталкивался с тем что не работают хардварные бряки?
WinXP SP3 + IDA Pro + IdaStealth (галка на защите бряков стоит).

-----
старый пень

| Сообщение посчитали полезным:

r_e
Вообще или под определённой виртуалкой? В VirtualBox если хостовая машина не поддерживает виртуализацию в гостевой не работают хардварные бряки (тикет #477 висит уже много лет)

Также при отладке в IDA с использованием WinDbg и установке больше четырёх хардварных бряков они не работают вообще.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=
Не, проблема похоже в антиотладке.

-----
старый пень

| Сообщение посчитали полезным:

Изучаю прошивку ATmega168, IDA 6.1. Как заставить брать данные из RAM. Alt-R не работает, т.е если указать на сегмент RAM. то ничего не происходит.

| Сообщение посчитали полезным:

если ентером щелкать на этом оффсете то оно прыгает в нужное место?
- если да то, другие всякие комбинации O/Ctrl+O/Alt+R/Ctrl+R
- если не прыгает, значит неправильно настроена сегментация, читайте выше пост OKOB
кстати не знаю решил он эту проблему или нет

| Сообщение посчитали полезным:

по энтеру прыгает на сегмент кода, по Ctrl+R непонятно что указывать.
Сегмент ROM - 0
Сегмент RAM - 800100
Base address - ???
Target address - ???
Target delta - ???
в RAM находятся как данные, так и адреса (HIGH+LOW)

| Сообщение посчитали полезным:

там какая то заморочка с трансляцией, уже забыл, в целом звучит как то так

если размер сегмента меньше чем 65536 кажется, то нужно использовать в адрессации сегменты:селекторы, и задать это можно только из скрипта idc
вариантов манипулировать это в гуи нет

| Сообщение посчитали полезным: