Страница проекта

Версия 2
C# + WPF, в разработке
Движок анализатора используется во внутренних проектах

Заметки о ходе разработки нового инструмента (анализатора)


Версия 1
Написана на Delphi, открытый исходный код
Legacy

В общих чертах:

- дизассемблирование x16, x32, x64 (через mediana by Mika0x65)
- дизассемблирование ARM
- FastTracer для быстрого анализа кода и проставления ссылок

Исходники: https://github.com/vdisasm/vdisasm.git

| Сообщение посчитали полезным: SReg, _ruzmaz_, =TS=, plutos, reversecode, ressa, Fedonin, Dart Raiden, 4kusNick, VodoleY, sendersu, verdizela, Wald, DenCoder, DICI BF, screen66

Не декомпилит импортные прыги


-
Не хватает нулей перед адресами, всетаки DWORD привычней будет
-
Выравнивание на коменты не помешало бы

-
Нет навигации. Захотелось вернуться назад, не нашел как
-
Если открытии файла в Aux Pane была открыта вкладка Names, то не появляются lab_* пока не щелкнешь правой кнопкой->Reload
-
В контекстном меню у пункта Comment отсутствует хотхей(/), отсутствуют пункты меню make code/unmake code/make data (cycled)/AnsiString и т.д. в-общем пусто там))
-
Может не стоит плодить файлы в %AppData%\VDisAsm? Думаю папки с программой достаточно...

| Сообщение посчитали полезным: vden, Wald

* При highlight mode off не происходит навигация при кликах по адресам -- так и задумано?
* При переименовании метки не происходит переименования адреса в команде, которая на неё ссылается.
* Было бы неплохо иметь комбинацию перехода на EP, например Ctrl-E.
* Если курсор стоит на метке или адресе, то при вызове диалога перехода (Ctrl-G) было бы неплохо вставлять их в этот диалог и иметь возможность производить над ними (или любыми другими введёнными вручную адресами\метками) в этом диалоге некие арифметические и логические операции, результат которых станет адресом перехода.
* В диалоге указания типа (Y) было бы логично иметь возможность выбора из списка встроенных / пользовательских (в будущем) типов. Или ввести выбор из списка при нажатия хоткея (T) -- да-да, как в IDA.

TryAga1n пишет:
Может не стоит плодить файлы в %AppData%\VDisAsm? Думаю папки с программой достаточно...
Если включён UAC то отнюдь не достаточно (искать потом по VirtualStorage не интересно).

-----
DREAMS CALL US

| Сообщение посчитали полезным: vden, Kr0ne, Wald

=TS= пишет:
Если включён UAC то отнюдь не достаточно (искать потом по VirtualStorage не интересно).
Как ярый фанат XP забываю про UAC постоянно, ну тогда данный пункт снят, т.к. действительно нужен

| Сообщение посчитали полезным:

vden
Внесу свою лепту критики.
Не удобный дизайн, мало функционала, для сравнения приложу в атач Hackers Disassembler, боян еще тот, но дизайн удобный, мб что нибудь позаимствуешь в плане идей, а так, тестировать еще нечего, кроме самого дизасма.


c1c4_01.09.2012_EXELAB.rU.tgz - Hackers Disassembler 1.06.rar

| Сообщение посчитали полезным: MasterSoft, vden

Где скролл?

| Сообщение посчитали полезным: vden

Распаковал пеид. Слева ида, справа - vdisasm, в котором одни опкоды

ba18_01.09.2012_EXELAB.rU.tgz - scr.JPG

| Сообщение посчитали полезным:

Текущий баглист добавлен в шапку. Туда добавляются найденные вами проблемы.

Понемногу ответы на текущие. Пост правиться.
Если на что-то не отвечено, значит скорее всего это добавлено в баг-лист.

@TryAga1n
Не декомпилит импортные прыги
Сейчас есть быстрый анализатор, который начиная с точки входа проходит по очевидным прыжкам, если видит вызов на понятный адрес, то добавляет его в список работ. Непрямые вызовы его естественно обламывают. Также пытается помечать обращения к данным.
Всё это хочется исправить с появлением более глубокого анализатора, который бы мог прослеживать изменения регистров, отлавливать непрямую адресацию.

Не хватает нулей перед адресами, всетаки DWORD привычней будет
Выравнивание на коменты не помешало бы
gui ещё предстоит много правок.

Нет навигации. Захотелось вернуться назад, не нашел как
Должно быть ESC, но видимо не во всех случаях это работает (например если перешли из секций или имён, то забывается предыдущий адрес)

@=TS=
При highlight mode off не происходит навигация при кликах по адресам -- так и задумано?
нет. баг. my bad

При переименовании метки не происходит переименования адреса в команде, которая на неё ссылается.
В арм версии это есть. но пока это отложено, чтобы сделать универсальное хранение операндов инструкции, это позволит например для чисел менять представление (int, float, structure offset)

Было бы неплохо иметь комбинацию перехода на EP, например Ctrl-E.
планируется

Если курсор стоит на метке или адресе, то при вызове диалога перехода (Ctrl-G) было бы неплохо вставлять их в этот диалог
Планируется

* В диалоге указания типа (Y) было бы логично иметь возможность выбора из списка встроенных / пользовательских (в будущем) типов.
Планируется

| Сообщение посчитали полезным:

vden может стоит новые версии кидать в архив, а когда проект станет стабильнее тогда можешь уже и установки делать

| Сообщение посчитали полезным:

Kr0ne пишет:
может стоит новые версии кидать в архив, а когда проект станет стабильнее тогда можешь уже и установки делать
может.
сейчас установка нужна для копирования локальных и программных файлов в отдельные папки. при желании конечно можно сделать чтобы всё было в одной

Домашняя страница
Это только у меня она не работает?
редиректы должны быть включены

Где скролл? gui ещё предстоит большая доработка

Распаковал пеид слева ида справа vdisasm в котором одни опкоды
скорее всего явного перехода на адрес не было, поэтому он не сделан кодом. можно попробовать там нажать C

| Сообщение посчитали полезным:

- навигации не хватает, не понятно где находишься, т.е. и прокрутки справа, и визуализации позиции относительно всего файла
- когда жмешь U то отменятеся очень большой участок кода залезающий по всем уже найденым лейблам ниже, думаю отменятся должен только до ближайшей лейбы, а еще лучше что бы уже определяло функцию и стек, и тогда отменятся должна как максиму вся функция, мнимум опять же до близайшего лейбла, хотя в IDA это чуть чуть по другому и чуть красивее, там по выровняном коду корректируется

- так же хочется что бы константы можно было переводить сразу их хексовых, в текстовые или 10 ричные
- рефы показывать тоже не плохо было бы, и что бы по ним бегать можно было(то что рефы есть я увидел, неплохо их показывать в коде, и работать не прибегая к мышке!)
- инсталляция не нужна, достаточно аля портеибл, которая если лезет в реестр, то или создает новые параметры в нем или уже подхватывает те что были при ранних запусках
- make code понятно, make data аля offset не вижу

- save as database не вижу
- добавить мульти трейдовость которой нет в IDA, к примеру опознал одну функцию, дальше бегло по ней анализируешь количество call, и хотя бы на несколько потоков раскидаешь на дизассемблер, так быстрее анализ будет проходить
- switch таблица еще не определяется я смотрю
- соверешнно не понятная мне ситуация,
4C188E call dword ptr [0x4DD220]
при этом если перейти на 0x4DD220 то это Import KERNEL32.dll!HeapFree:
может стоит сразу в комментах или адресс функцией заменять?
- добавить Ctrl+Ins, Shift+Ins как альтернативу Ctrl+C, Ctrl+V

| Сообщение посчитали полезным: vden

@reversecode
согласен. как временная мера, можно нажимать U для выделенного участка, тогда не будет попыток удалять через трейсинг кода

иконка программы какая то скудная и еле заметная в таск баре, увеличить! и разнообразить цвЯтами!
я думаю иконки должен рисовать профессионал, а пока это так, placeholder'ы
рисовать нужно для разных размеров, тогда будет хорошо смотреться. в будещем планируется нанять дизайнера, чтобы всё "разукрасить".

временную иконку попробую вскоре сделать

| Сообщение посчитали полезным:

vden пишет:
Домашняя страница
Это только у меня она не работает?

| Сообщение посчитали полезным:

Kr0ne пишет:
Это только у меня она не работает?
да только у вас.


иконка программы какая то скудная и еле заметная в таск баре, увеличить! и разнообразить цвЯтами!

ну хотя бы увеличить и заменить цвета, а то светло голубой переливающийся да на сером таск баре вообще не заметен
по сравнению с красным фаерфоксом и большой иконкой Far,Notepad,Processhacker итд

постом #11 расписал все свои замечания аля баги, пожелания

| Сообщение посчитали полезным:

Критическая ошибка:
После открытия exe'шника, во время анализа я нажал Jobs->Resume(Зачем вообще такой пункт, если нет Stop или Pause?) и после этого программа навертво зависла. Убил через диспетчер задач. После повторного открытия приложения, на котором был висяк во время анализа получаем:

И все пусто...пытался сделать File->Delete, но это не помогло. Теперь больше не могу работать с данным файлом
-
Где база от программы? Как ее почистить ручками то теперь?
-
В случае убивания процесса во время анализа, даже без Jobs->Resume база накрывается и приложение больше не анализируется

| Сообщение посчитали полезным:

TryAga1n пишет:
Критическая ошибка:
После открытия exe'шника, во время анализа я нажал Jobs->Resume(Зачем вообще такой пункт, если нет Stop или Pause?) и после этого программа навертво зависла.
Этот пункт должен был быть скрытым (пока), видимо был упущен из виду.

В случае порчи базы, её придётся удалять вручную.

База это папка с постфиксом _vddb, создаётся там же где и исходный файл

В случае убивания процесса во время анализа, даже без Jobs->Resume база накрывается и приложение больше не анализируется
добавил в баги

@reversecode
постом #11 расписал все свои замечания аля баги, пожелания
ok.

| Сообщение посчитали полезным:

самое главное, обзавестись хотя бы еще одним, двумя разработчиками
что бы проект не умер на стадии бета потому что автор куда то пропал итд, всякие жизненные ситуации

если на стадии бета-3 обростет дебаггером и интерактивным интерфейсом,
появятся функции, стек, можно будет переименовывать и накладывать форматом структур на данные,
то можно сказать что будет претендовать как альтернатива ИДА

Kr0ne если все что я сказал появится, то запросто
http://www.youtube.com/watch?v=Zkd_wzADOuo
http://www.youtube.com/watch?v=nGWZVJQQSpM
hexrays в учет не берем пока

Kr0ne пишет:
Я согласен, но движок надо свой писать. На чужом далеко не уедешь
движок чего писать? там и так все свое,
а медиану все пользуют, Мика для этого ее и писал
иначем зачем опенсоурс нужен

| Сообщение посчитали полезным: vden

reversecode пишет:
можно сказать что будет претендовать как альтернатива ИДА
До иды ещё далековато
reversecode
Я согласен, но движок надо свой писать. На чужом далеко не уедешь

| Сообщение посчитали полезным:

Kr0ne пишет:
движок надо свой писать
какой именно?

Если x86/x64, то пока нет. Точнее есть свой, он хорошо работает для x86, но есть проблемы с x64.
FYI в ходе прикручивания mediana был найден небольшой баг, патч отослан, но пока ещё не закомитен.
Вскоре выложу заголовки mediana для Delphi. Думаю все в выигрыше.

| Сообщение посчитали полезным:

Вообще говоря, в медиана прилично багов уже есть, автор только лысого гоняет уже год. Если есть желание сделать форк и пофиксить их все, в принципе список багов могу покидать.
Только это, если кто-то надумает это делать, сделайте нормально, не нагородите новых.
З.Ы. Для дельфей килька в своё время делал инклуды.

| Сообщение посчитали полезным:

Archer
Я уже и так делаю форк, в процессе тестирования трейсера в OpenDbg. Можешь мне на мыло оформить баг-лист. Только вот кто готов взяться за тестирование? У тебя спец-ранг в принципе говорит о многом, но если найдешь добровольцев (не просто желающих, а кто точно разбирается в данной теме), то вообще здорово.

| Сообщение посчитали полезным:

Мика на васме(насколько я видел) переодически появляется, вот как то не верится что он вообще на медиану и баг репорты забил.
если все так востребовано и активно, может нужно к нему обратится?

| Сообщение посчитали полезным:

reversecode
Он занят каким-то другим проектом. Сказал - если что найдете, можете поправить, но добавлять он не будет, т.к. у него нет времени даже проверить чужие правки. Поэтому только форк...

| Сообщение посчитали полезным:

Устранил пару репортов в VDisAsm. Теперь portable

Видимо инклуды от PEKill я проморгал.

Инклуды mediana сейчас добавлены в общую папку (на dropbox, в шапке)

В багфиксе mediana я тоже заинтересован, может всё и не исправлю, но список проблем хотелось бы увидеть. имхо если форк будет на sourceforge/googlecode, то может туда и запостить issues ?

Мой баг, наверно уже есть в списке:



| Сообщение посчитали полезным:

а если взять дизассемблер от EDB? http://code.google.com/p/edisassm/
или все уже так закручено гвоздями к медиане?

| Сообщение посчитали полезным:

Можно взять любой движок, лишь бы он выдавал структуру инструкции. Печать текста не нужна вообще, т.к. переписывается целиком.
Возможно нужно было попробовать ещё distorm. Просто mediana мне показался чище написанным.

edisassm гляну.

@VodoleY был вариант с bea, уже не помню, почему не взял. Беатрикс вроде более-менее оперативно всё фиксит.

| Сообщение посчитали полезным:

vden я юзал http://www.beaengine.org/ есть интерфейс для делфи, регулярно обновляется, как то нашел баг, выправили за сутки.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Для x86/64 медиана прикручена, а ARM чем дизасмится?

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Вопросик: ручное изменения типа операндов (в частности, задание типа указателей) предусмотрено в проекте?
Как предполагается задавать пользовательские типы данных?
Навигацию назад можно подвесить также и на BkSpace?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Предлагаю:
Передрать из IDA популярные горячие клавиши

| Сообщение посчитали полезным: