Наверняка многих интересовало как устроен hexrays.
Извесно что ильфак еще с 2001 года его развивает,
пример по ссылке http://www.datarescue.com/laboratory/vd.htm (надеюсь ильфак линк не удалит?)
но похоже никто до оффициального выхода версии hexrays 1.0 в 2007 году, наработок никогда не щупал.
но тем неменее, наработки рейса всегда были в ранних версиях IDA, но их ильфак скрывал,
потер с SDK и самой IDA все упоминания о микрокод представлении данных.
Мне удалось найти старую версию IDA 4.17 в которой есть именно эта наработка! хотя и скрыта от глаз.

да, это не полноценных хекс рейс, но именно на этом и работает современный hex-rays.
Микрокод представление, с дальнейшей его опитизацией и переводом в псевдо-код(в этой версии нет).


немного доков по этой теме,
http://www.hex-rays.com/products/ida/support/ppt/decompilers_and_beyond.ppt
http://www.hex-rays.com/products/ida/support/ppt/decompilers_and_beyond_white_paper.pdf
как по мне две разные доки, поэтому ppt лучше еще в pdf перевести.

патчики открывают микрокод инструкции, и включают скрытый пункт меню в IDA
View -> Open subview -> Microinstruction (F11)

сама ida417 http://rghost.ru/39614844
патчики http://www.sendspace.com/file/l1b2dq

дифы патчиков, после анпака ASPack утилитой PE_Kill

fc /b ida.wll & ida.crk.wll
000A2020: 09 F9

fc /b Idag.exe & Idag.crk.exe
00013E6E: 33 B2
00013E6F: D2 01

надеюсь кому то это будет очень интересным или полезным!
IDASDK 4.17 в розыске! найден! вместе с графами!

PS: спасибо парню с ru-board который подкинул ida 4.17 версию!

| Сообщение посчитали полезным: plutos, _ruzmaz_, Rustem, sendersu, Artem_N, obfuskator, antipod, =TS=, HOMEZ, WildGoblin, ressa, fobos_n_deimos

думаешь дернуть алго рэйса?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

не все так просто в дацком королевстве

после патча и загрузки UNWISE.EXE из папки ида4.17
---------------------------
IDA - UNWISE.EXE
---------------------------
Access violation at address 1004DDA6 in module 'IDA.WLL'. Read of address 00000004.
---------------------------
OK
---------------------------


а вообще приятное открытие!

| Сообщение посчитали полезным:

какой еще unwise из папки?
там аспаки надо еще поснимать с обеих
патчи бери лучше)

Hellspawn пишет:
думаешь дернуть алго рэйса?
я его и до этого знал, подогреваю ажиотаж))

| Сообщение посчитали полезным:

reversecode
См. rec - ноги оттуда растут.

| Сообщение посчитали полезным:

Есть SDK 4.18. надо?

| Сообщение посчитали полезным:

давай ! только именно sdk не флирты итд утилиты

| Сообщение посчитали полезным:

4.15 нуно ?

| Сообщение посчитали полезным: reversecode

2nd
SDK?? давайте!

вообще что бы не флудить ни мне ни другим,
смысл такой
есть SDK414 где есть файл include\micro.hpp внем весь интрефейс псевдокода и констнат,
с какой то версии SDK, ильфак порезал этот интерфейс с SDK

хочется найти все SDK между
SDK414(еще есть micro.hpp), SDK415(еще есть micro.hpp), SDK416(еще есть micro.hpp),SDK417(micro.hpp СУППЕР!) , SDK418(уже micro.hpp нет), SDK430(уже micro.hpp нет)

все найдено! и проверено!

| Сообщение посчитали полезным:

reversecode пишет:
с какой то версии SDK, ильфак порезал этот интерфейс
В 4.18 его уже нет. Можно начинать рвать последние волосы

Вот, нашел SDK от 4.16, тут есть

e8cf_08.08.2012_EXELAB.rU.tgz - idasdk55b.rar

| Сообщение посчитали полезным: reversecode

А для самых ленивых, которые не смогли погуглить, зарегистрироваться на китайском сайте и скачать SDK от 4.17 - вот ОНО, нужный хидер присутствует.
Не путать с SDK от IDA 5.6, с тем же именем, но с размером 5.8 Мб

aeca_08.08.2012_EXELAB.rU.tgz - idasdk56.rar

| Сообщение посчитали полезным: antipod

SDK417 просто суппер! даже графы уже есть!


у нас разные гуглы (с)
линк на китайский сайт!

| Сообщение посчитали полезным:

reversecode
Порылся и нашёл у себя IDA 4.15 и сдк 4.3 - надо оно вам или нет - решайте сами. --> Ссылька <--

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: antipod

думаю все уже найдено по максимуму всем спасибо!

теперь всем кто интересуется или разрабатывает что то свое, думаю будет интересно поизучать тайны hex-rays

ps может хотя бы этой темой полоскочем ильфаку нервы

sdk415 http://rghost.ru/39649196

| Сообщение посчитали полезным:

reversecode
А выложите пожалуйста sdk 4.15

| Сообщение посчитали полезным:

reversecode пишет:
SDK418(? не верю! )
от, блин, Фома неверующий
а вот кЫтайский сайт с 4.17

487e_08.08.2012_EXELAB.rU.tgz - idasdk418.rar

| Сообщение посчитали полезным:

Насколько я слышал. Был куплен open-source проект boomerang decompiler и соединен с этим самым микрокодом. Именно поэтому его (бумеранг) перестали развивать в 2006-м

з.ы. я про то что микрокод был с 4.15 знал, но не думал что это прям чудо какое-то. А тут такое...

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

пересмотрел в свое время кучу всяких декомпилеров.
ничего общего у рейса с пабликом не нашел.

- а чего ж вы раньше то не спрашивали?! у нас еще и сорусы hexrays есть!
- а чего ж вы не говорите?
- так вы и не спрашивали!
ваш (с)

ну да, ну да.
вообще чудно когда сколько выспрашивали что да как,
а потом все говорят, тюююю! это мы уже давно знаем!

может тогда у кого то есть и самая первая не оффициальная версия hexrays? еще бета, до выхода 1.0.
которую ильфак раздавал только по персональному запросу.
так вы сразу говорите что бы потом не сказали, что я не спрашивал.

| Сообщение посчитали полезным:

reversecode пишет:
пересмотрел в свое время кучу всяких декомпилеров.
От бумеранга похоже оставили только back-end. А front-end заменили микрокодом иды. Потому что front-end у бумеранга мать моя женщина какой страшный был...

Цель этого всего какая? Написать свое на основе того что в ida 4.15?

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx пишет:
От бумеранга похоже оставили только back-end. А front-end заменили микрокодом иды. Потому что front-end у бумеранга мать моя женщина какой страшный был...
уговорил, как нибудь гляну повторно.
внутренности рейса я вроде бы уже более менее знаю.

цель
1) Раскрыть секреты того что запрятал ильфак или это только я один заметил что нет упоминания о микрокоде не только в SDK HEXRAYS? видимо ильфак старался, с чего бы это скрывать такую ерунду?
2) Интриги, расследования, скандалы, все знают но молчат. - надоело это.
3) Кому надо, каждый найдет что то интересное и для себя.

в ida 4.15 этого нет, а если и есть поверхносно, это хорошо видно по SDK415 SDK417
все что реально нашлось, это в ida 417+ sdk417

| Сообщение посчитали полезным:

значит 4.17, 11 лет прошло...
Я вначале увидел в SDK а потом люди подсказали про
reversecode пишет:
View -> Open subview -> Microinstruction

reversecode пишет:
2) Интриги, расследования, скандалы, все знают но молчат. - надоело это.

Эффект Неуловимого джо. Ну были они там и что? Времени чтобы допилить где столько взять? Декомпилятор не сильно был нужен для тех задач, что я тогда выполнял. Да и сейчас без него не плохо обхожусь.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx пишет:
Эффект Неуловимого джо. Ну были они там и что? Времени чтобы допилить где столько взять? Декомпилятор не сильно был нужен для тех задач, что я тогда выполнял. Да и сейчас без него не плохо обхожусь.
ты сечас hexrays видимо не используешь? и наверное в SDK к нему тоже не смотрел,
все ведь уже готово? сходи спроси у ильфака почему он в SDK не включил микрокод?
я ответ уже знаю
1) потому что раздеребанят рейс в пух и прах, сколько епопеи было только с одним RTTI который ильфак обфускал в hexrays, пока не понял как ее вообще отключить.
2) потому что рейс начнут использовать как бекенд, а фронендом каждый будет писать под свои платформы, тот же arm, x64,mips итд, а зачем ильфаку отдавать курицу с золотыми яйцами?

| Сообщение посчитали полезным: ressa

llvm не? Чем не микрокод? Существует уже хз сколько, только желающих заюзать что-то очень мало. Я знаю аж одних, кто смог осилить --> Link <--

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

llvm вообще туфта.

ладно, вообщем это все флейм
я понял это никому не надо (с)

Hexxx пишет:
в академических целях и в целях развития конспирологии - нет
то что мне нужно я нашел, и рад что мне помогли найти SDK417
а дальше каждый по своему пути (с)

| Сообщение посчитали полезным:

reversecode пишет:
я понял это никому не надо
в академических целях и в целях развития конспирологии - нет

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx пишет:
Насколько я слышал. Был куплен open-source проект boomerang decompiler и соединен с этим самым микрокодом. Именно поэтому его (бумеранг) перестали развивать в 2006-м
У меня другая информация
Бумеранг никто не покупал, уж тем более Ильфак. Разработка встала после того как Майк Эммерик ушел в Veracode. Естественно по контракту он не имел права дальше кодить бумеранг или давать советы по развитию, но мог отвечать на вопросы по поводу того что уже работает. Скажу больше, он даже уговаривал народ продолжить работу над бумерангом, тогда еще реально было допинать его до уровня hexrays 1.0
Короче без Майка, людей которые бы шарили по теме, или хотя бы прочитали его диссертацию или работы Кристины - не нашлось. Вот бобик и сдох...

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

как минимум те, у кого есть 4.17 сэкономили несколько тысяч зеленых

| Сообщение посчитали полезным:

drone да как бы бред.. тут же вопрос не в том чтоб получить на халяву рей, а чтоб получить первоисточник от которого ноги ростут. и Getorix грусную фишку выдал.. что даже если есть инфа, а народ не в теме и не хочет даже поднять попу и почитать, то для них это всего лишь очередной кусок кода.. а для тех кто пытаеца сделать чтото свое это несколько сэкономленных месяцев

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

насчет математики это вопрос... revers основу задачи поставил - минимальная зависимость от апдейтов ильфака и оптимальная оптимизация кода. главный вопрос что никому кроме него самого это не нужно! хотя и отечественные разработки очень даже не плохи того же ран !!!главное кто это все сможет консалидировать!

| Сообщение посчитали полезным:

sats пишет:
главный вопрос что никому кроме него самого это не нужно!
Это ты постебался? у мну уже пальцев не хватит перечислить людей из этого форума кто на эту задачу тратил свое время (имеется ввиду нормальный деморфер/деобфускатор включая меня самого) только беда в том что обьем работ немалый, а комьюнити по своей специфики таково, что обьединить их проблематично (лебедь рак и щука) единственный рабочий проджект это спец заточенный плаг ВАМита.. который под свои нужды сделал деобфускатор под вмпрот с наложением шаблонов.(может гдето я и ошибаюсь но не на много)
З.Ы. ито потому что ВАМит написал под себя статический эмулятор кода с транслятором в промежуточный язык

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: