Скачал сырки, понял что у меня нет SDK и где взять не знаю, так что собрать не получилось
1) Где можно взять SDK ?

Нашлись добрые люди подогнали скомпилированный плагин.
И вот... пишу Я тестовый патерн:
<!--
.text:00401195 53 push ebx
.text:00401196 E8 00 00 00 00 call $+5
.text:0040119B 5B pop ebx
.text:0040119C 83 C3 0B add ebx, 0Bh
.text:0040119F 87 1C 24 xchg ebx, [esp]
.text:004011A2 C3 retn
-->

<pattern name="usr-0">
<search>
53
E8 00 00 00 00
-m[var]
5B
83 C3 [var2:1]
87 -- 24
-s[var+var2]
C3
</search>
<replace>E9[var+var2]</replace>
</pattern>

и нифига не работает
помогите где, Я ошибаюсь?

| Сообщение посчитали полезным:

nen777w пишет:
собрать не получилось
ето самый простой шаг, как ето не получилось, VS чтоли нету?

2) главное окно в IDA при запуске плагина - видно?
3) что плагин пишет в консоль вывода IDA?

| Сообщение посчитали полезным:

Прекрасно СДК гуглится на строки типа Hex.Rays.IDA.Pro.Advanced.SDK.v5.7-CORE.rar, гуглом пользоваться научись.

| Сообщение посчитали полезным: nen777w

sendersu пишет:
ето самый простой шаг, как ето не получилось, VS чтоли нету?
VS - есть SDK для IDA нету, но говорят гуглицо прекрасно.

2) главное окно в IDA при запуске плагина - видно?
не понял вопроса?
Да если нажать Alt+Z на который забинден cleaner - да окно плагина появляется

3) что плагин пишет в консоль вывода IDA?
Cleaning code
Parsing configuration file
Result=4011A6 at Address=4011A2
Pattern usr-0 found at 401195

| Сообщение посчитали полезным:

Скачал SDK. Собрал Cleaner....
Теперь другая фигя... Во первых он не детектит диапазон адреса в селектированной области.
Вместо Starting address и Ending address стоит Ending address (в том собраном что мне дали с этим было всё ок)

Теперь замена... она работает только получается фигня:
Например:

<pattern name="usr-0">
<search>
53
E8 00 00 00 00
-m[var]
5B
83 C3 [var2:1]
87 -- 24
-s[var+var2]
C3
</search>
<replace>E9[var+var2]</replace>
</pattern>

применяю на:


получаю:



Во общем PLZ кто то может дать нормально работающий cleaner потому работа превращается в танцы с бубном вокруг плагина.

| Сообщение посчитали полезным:

Вообще-то проблема не в плагине, а в тебе.

Записывать нужно не адрес, а оффсет. Как пользоваться плагом я хз, в общем тебе нужно получить адрес куда ты вставляешь джамп (start), и т.к. ты используешь ниар джампы, то ещё берем его размер (5 байт) и получаем:



-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: nen777w

Да, Вы правы!
Я уже успел пофиксить это.
Только сделал короткий jmp - EB

Кстати надеюсь не нарушу правила форума.
Я скачал SDK пересобрал плаг и пофиксил баг с выбором адресов.
Если кому надо можно взять тут

Теперь вопрос... вот почистил Я код... дальше как это применить на exe-чину.
IDA ведь патчить не умеет.
Подскажите пожалуйста, Я в реверсинге новичок совсем.
Спасибо

| Сообщение посчитали полезным:

nen777w пишет:
Подскажите пожалуйста, Я в реверсинге новичок совсем.
Новичок начавший перевым делом собирать плагины для IDA o_0
nen777w пишет:
как это применить на exe-чину
Ты почистил не код, а его представление в IDA.
Чистить код и сохранять его надо в OllyDBG.
IDA - интерактивный дизассемблер. OllyDBG - отладчик.
Писал бы уж для OllyDBG чтоли и с неё бы начинал. В нём бы, если ручками, выделил бы всю область измененного кода и сохранил бы изменения.
з.ы. Патчинг в IDA - изврат. IDA - незаменимая весчь для разбора сложных алгоритмов, но никак не для патчинга.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

А если кодить умеешь, то вообще бы писал в нативе, в десятки раз быстрее и алгосы какие хочешь применяй, благо есть отличные дизасмы сейчас.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

nen777w,

Такие простые паттерны прощее расчистить с помощью скрипта для OllyDbg.
Загрузи дистрибутив ODbgScript, в нем есть документация по доступным командам.

Вот пример поиска твоего паттерна:



| Сообщение посчитали полезным: