Привет.

Вобщем, есть некоторый проблемы с Идой, она толи не распазнает весть код, тоесть не все дизассемблирует (это не антидебаг в этом случае), очень много оставляет как байт-код, цифрами. Может это я что в настройках конечно не поставил правильно, или может что еще.
В то же время, Олька все Ок дизассемблирует, но постоянно смотреть на адреса в Ольке что бы корректно попасть на начало инструкции напряжно (есть еще байты выравнивания + нераспознаные даные ).

Может можно как то отдать в иду дизассемблированый листинг Ольки. Или что настроит в Иде.

Ида версия 5.5.

| Сообщение посчитали полезным:

никто не будет возится в 5.5
ставте 6.1
и выкладывайте пациента
или хотя бы скрины

| Сообщение посчитали полезным:

Да, поставил версию 6.1

Кстате забыл уточнить, что был раскриптован (ExeCryptor 2.x.x) компилятор Watcom C++

[img]http://saveimg.ru/pictures/16-11-11/41ef81bdf2afdfcca135f86571d8e2b2.bmp[/img]

Один сегиент вообще не распознает, и много где функции только частично..

Это в Ида так ввсегда, я ее сравнительно недавно пользуюсь..

| Сообщение посчитали полезным:

я так и не понял что в картинке вас не устраивает
что секция DATA посредине?
или что куча левых секций после ExeCrypt-а?

Artem__ пишет:
В то же время, Олька все Ок дизассемблирует, но постоянно смотреть на адреса в Ольке что бы корректно попасть на начало инструкции напряжно (есть еще байты выравнивания + нераспознаные даные ).
ну так покажите на картинке, или-или ...

| Сообщение посчитали полезным:

К примеру, есть очень много строк, которы Ида не перевила в строки, а почемуто оставила как дамп просто, из-за этого анализ кода усложняется, так как ссылки на них не распознаны
Вот:
[img]http://saveimg.ru/pictures/16-11-11/a67ab5b71154bb056f7e1d1f41deabfc.bmp[/img]

Можно ли это как то автоматизировать? очень много сток в разных частях программы (они идут стазу за функцией, которая их использует, это как правило)

Дана секция, которая плохо дизассемблирована, была скорее всего криптована, и получил ее в раскриптованом виде сдампив процесс при работе.

вот пример еще один

[img]http://saveimg.ru/pictures/16-11-11/c02f5c02d64353a58004d9968ead7ddb.bmp[/img]
[img]http://saveimg.ru/pictures/16-11-11/5937f2f2a2e0fc54141b4e9d56c90089.bmp[/img]

Ольга все нормально дизассемблирует, тут она приаттачена к процесу.
Ида, как и должна, дизассемблирует до инструкции передачи управления, а дальше ? как заставить все распознать, так как руками это так же долго делать..

?

| Сообщение посчитали полезным:

Из-за нераспознаных даных, нету перекресных ссылок, и что либо искать без Ольги в Иде невозможно (для меня)

| Сообщение посчитали полезным:

видимо execrypt или что то там еще вы не сняли, судя по картинкам

| Сообщение посчитали полезным:

конктетно эта копия файла - сдамплена с работающего процесса, где то по середине его действий:

- приаттачился Ольгой
- снял дамп PETool
- загрузил в IDA

если руками все в Иде делать, то получается нормально, код корректно распознается, перекресные ссылки появляются..
?

| Сообщение посчитали полезным:

ну смотря как повезет
иногда импорт не востанавливается, нужно его фиксить
иногда OEP нет, нужно настраивать
и вообще лучше попросите что бы вам его анпакнул кто то, а потом будете ковырять
тема в запросах на взлом, только с комментарием что бы только анпакнуть, а не ломать

| Сообщение посчитали полезным:

хорошо, спасибо!

| Сообщение посчитали полезным: