IDA, привести листинг в порядок

Сейчас на форуме: asfa, bartolomeo, _MBK_ (+7 невидимых)

Посл.ответ	Сообщение
logo2004 Ранг: 3.1 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 09 марта 2012 03:32 · Поправил: Модератор · Личное сообщение · #1 IDA не корректно показывает ассемблерный код функции. Code: ; Attributes: bp-based frame ; int __stdcall sub_40F3D0(char ) sub_40F3D0 proc* far var_76AF33BB= dword ptr -76AF33BBh var_38AF33BB= byte ptr -38AF33BBh var_38AF0BBB= byte ptr -38AF0BBBh var_34= dword ptr -34h cont_nick_list= dword ptr -2Ch var_28= dword ptr -28h var_24= dword ptr -24h var_20= dword ptr -20h var_1C= dword ptr -1Ch var_18= dword ptr -18h var_14= dword ptr -14h var_10= dword ptr -10h var_C= dword ptr -0Ch var_8= dword ptr -8 i= dword ptr -4 var_0= dword ptr 0 arg_0= dword ptr 0Ch arg_C= dword ptr 14h Во первых, есть какие-то переменные с очень большим смещением (var_76AF33BB= dword ptr -76AF33BBh), поиск ссылок на них по клавише X не дает результатов. Из-за этого плагин HexRays не может сгенерировать код, пишет очень большой стек. Во вторых не видит аргументов функции. Пишет что есть аргуметы dword ptr 0Ch и 14h, но поиск ссылок по ним ничего не показывает. А первый аргумент, к которому явно обращаются (mov ecx, [ebp+8]) не показывает, вот стек аргументов, почему-то на r он отвел 8 байт Code: .... -00000010 var_10 dd ? -0000000C var_C dd ? -00000008 var_8 dd ? -00000004 i dd ? +00000000 var_0 dd ? +00000004 r db 8 dup(?) +0000000C arg_0 dd ? +00000010 db ? ; undefined +00000011 db ? ; undefined +00000012 db ? ; undefined +00000013 db ? ; undefined +00000014 arg_C dd ? Соответственно, вопрос, как привести размер стека в соответствующий вид, и как добавить первый аргумент?

Hexxx Ранг: 481.4 (мудрец), 109thx Активность: 0.18↘0 Статус: Участник Тот самый :)	Создано: 09 марта 2012 11:58 · Поправил: Hexxx · Личное сообщение · #2 проще пересоздать функцию. 'U', а потом 'P'. А бороться с вот таким локальными переменными, только если оно продолжает создавать такую же хрень. Если таки продолжает, то ALT-P на функции. И редактируем размер локальных переменных. На mov ecx, [ebp+8] нажмите 'K', и аргумент создастся. Но честно говоря не факт что это аргумент, и что у функции 3 аргумента вообще. Есть столько всяких исключений из правил, что я бы не рисковал не разобравшись. А без контекста (т.е. примеров на асме), говорить не о чем. ----- Реверсивная инженерия - написание кода идентичного натуральному
logo2004 Ранг: 3.1 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 09 марта 2012 16:35 · Личное сообщение · #3 > На mov ecx, [ebp+8] нажмите 'K', и аргумент создастся. Не создается, только 8 меняется с красного цвета на обычный зеленый.
reverser Ранг: 58.0 (постоянный), 13thx Активность: 0.02↘0.01 Статус: Участник	Создано: 10 марта 2012 07:13 · Личное сообщение · #4 Вот где проблема: sub_40F3D0 proc far
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 13 марта 2012 02:40 · Личное сообщение · #5 Code: +00000000 var_0 dd ? +00000004 r db 8 dup(?) +0000000C arg_0 dd ? вот где проблема и начинать нужно не с показа стека а с показа начала кода всего кода там в иде есть глючек когда она не может коректно стек поставить но рассуждать о нём пока не вижу смысла кроме показать функцию, вы еще с Alt+K для выравнивания стека пока не пользовались да кстати а уверены что программа писана на С/C++ ?
Zarion Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 21 марта 2012 16:36 · Личное сообщение · #6 Hexxx пишет: проще пересоздать функцию. 'U', а потом 'P'. . . На mov ecx, [ebp+8] нажмите 'K' Кстати, а как программно, с помощью скриптов, «нажать» эти клавиши? В частности, как программно реализовать команды «Y» и «N»?
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 22 марта 2012 18:15 · Поправил: Veliant · Личное сообщение · #7 Цитирую код, сгенерированный IDR. Первый цикл прогоняет все функции и удаляет их, в том числе имена. Второй цикл делает тоже самое с данными Code: static clear(from){ auto ea; ea = from; while (1){ ea = NextFunction(ea); if (ea == -1) break; DelFunction(ea); MakeNameEx(ea, "", 0);} ea = from; while (1){ ea = FindExplored(ea, SEARCH_DOWN \| SEARCH_NEXT); if (ea == -1) break; MakeUnkn(ea, 1);} } И задание имени по адресу Code: MakeNameEx(address, "name", 0); Создание функции Code: MakeFunction(address, -1); А вообще читайте IDA Pro book так все есть
Erfaren Ранг: 10.0 (новичок), 4thx Активность: 0.01↘0 Статус: Участник	Создано: 26 марта 2012 12:22 · Личное сообщение · #8 Zarion пишет: В частности, как программно реализовать команды «Y» и «N»? Вполне элементарно! Например, мы имеем в IdaPro запись: Code: .text:75C08FB2 ; void __stdcall Edit_SetupThemeInfo(struct tagED ) Ей соответствует скрипт: Code: SetType(0X75C08FB2, "void __stdcall Edit_SetupThemeInfo(struct tagED a1);"); Допустим, надо поменять тип struct tagED * на DWORD * (команда «Y») и имя переменной a1 на aEditInfo (команда «N»). Это особенно актуально, если вы хотите получить Си код данной функции с нужными изменениями (клавиша F5 для плагина Hex-Rays Decompiler). Тогда вы просто запускаете скрипт: Code: SetType(0X75C08FB2, "void __stdcall Edit_SetupThemeInfo(DWORD * aEditInfo);"); Последнюю точку с запятой для одиночной команды скрипта писать не обязательно (при этом становятся видны промежуточные сообщения «Иды»).

Для печати