Вопрос по exe (IDA Pro)

Сейчас на форуме: tyns777, localhost1, vsv1, asfa (+6 невидимых)

Посл.ответ	Сообщение
Shpunk Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 20 марта 2018 20:04 · Поправил: Shpunk · Личное сообщение · #1 Установлена программа(требовала наличия .Net Framework). Из нее выпало два exe (я хз чем они кроме размера отличаются). Ida Pro может открыть оба, но от этого не легче, т.к. выглядит нечитаемо. Картинка ---> https://ibb.co/kajDqH Потыкал в настройки(manual load, proccessor type и пр), особых изменений не заметил. Значит ли это, что файл защищен/упакован? ------трууунь разделительная линия---- Интереса ради попробовал открыть в OllyDbg. Один exe не открывается с ошибкой Unable to start. Второй нормально открывается и выглядит хорошо (т.е. есть адреса, инструкции). b55b_20.03.2018_EXELAB.rU.tgz - Ida_res - копия.jpg

rmn Ранг: 158.4 (ветеран), 123thx Активность: 0.14↗0.49 Статус: Участник	Создано: 20 марта 2018 20:20 · Личное сообщение · #2 --> Link <-- \| Сообщение посчитали полезным: Shpunk
morgot Ранг: 69.9 (постоянный), 83thx Активность: 0.14↗0.73 Статус: Участник	Создано: 01 марта 2019 05:33 · Поправил: morgot · Личное сообщение · #3 Чтоб не плодить темы, спрошу здесь. Если писать в коде вида Code: char test1[] = "abcd1234"; То строка находится, ясное дело, и Идой и хекс редактором, и чем угодно. Но если записать так: Code: char test2[] = { 'a','b','c','d','1','2','3','4',0 }; То строка будет формироваться на стеке, т.е. в хекс редакторе ничего не видно, а в Иде это выглядит примерно так: Code: mov [ebp+test2], 61h mov [ebp+test2+1], 62h mov [ebp+test2+2], 63h mov [ebp+test2+3], 64h mov [ebp+test2+4], 31h mov [ebp+test2+5], 32h mov [ebp+test2+6], 33h mov [ebp+test2+7], 34h mov [ebp+test2+8], 0 Есть ли способ привести эти строки к читабельному виду? Может какие-то встроенные средства Иды или же скрипты на питоне?
Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 01 марта 2019 05:39 · Личное сообщение · #4 stackstrings отсюда https://github.com/fireeye/flare-ida \| Сообщение посчитали полезным: morgot
morgot Ранг: 69.9 (постоянный), 83thx Активность: 0.14↗0.73 Статус: Участник	Создано: 01 марта 2019 07:26 · Поправил: morgot · Личное сообщение · #5 Alchemistry спасибо, по описанию подходит. Но не получается поставить. Я делаю как в инструкции - обновил pip , ставлю этот vivisect. Качаю репозиторий, копирую 1 файл stackstrings_plugin.py в папку плагинов иды. остальные скрипты сюда c:\Program Files\IDA 7.0\python\ (пробовал и в c:\Python27\Scripts\ , разницы никакой). В консоле пишу Python>import vivisect Python>import stackstrings вроде все норм, но при нажатии альт+0 неизменно такая картина. Что я делаю не так? ---Updated Сделал, была путаница с путями , в этом петоне все не как у людей. Все работает.
morgot Ранг: 69.9 (постоянный), 83thx Активность: 0.14↗0.73 Статус: Участник	Создано: 02 февраля 2020 21:25 · Личное сообщение · #6 Не раз уже встречаю странные имена функций, вида unknown_libname_ХХ, что может значить такой код? Это студия какую-то служебную ерунду вставляет (типа stack cookies ) или , может, что-то важное? Вызов Code: unknown_libname_4(v25, (int)&v19, 16); Тело Code: // Microsoft VisualC universal runtime int __cdecl unknown_libname_4(int a1, int a2, int a3) { char v4; // [esp+0h] [ebp-4h] if ( a3 != 10 \|\| (v4 = 1, a1 >= 0) ) v4 = 0; common_xtox<unsigned long,char>(a1, a2, -1, a3, v4); return a2; }
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 04 февраля 2020 00:52 · Поправил: reversecode · Личное сообщение · #7 есть главная тема про использование иды но вы почему то создаете новые топики флирт определил что функция очень похожа на библиотечную но название не понял как правило все не большие функции, флирт ида определяет не верно так что отмените определение а что бы понять что она и зачем нужно смотреть весь контекст а то и асм
morgot Ранг: 69.9 (постоянный), 83thx Активность: 0.14↗0.73 Статус: Участник	Создано: 04 февраля 2020 15:24 · Личное сообщение · #8 reversecode пишет: но вы почему то создаете новые топики Ну там более серьезные вопросы обсуждаются, а я в Ида не шарю вообще, поэтому пишу в вопросах новичков. Но могу и там. reversecode пишет: так что отмените определение Нажимаю Undefine, код превращается в какой-то набор опкодов по 1 в строке. Нажимаю опять Code - снова появляется определение функции.. reversecode пишет: а что бы понять что она и зачем нужно смотреть весь контекст А что может значить эта конструкция ? Code: common_xtox<unsigned long,char>(a1, a2, -1, a3, v4); В асм коде аналогично call ??$common_xtox@KD@@YAHKQADII_N@Z ; common_xtox<ulong,char>(ulong,char * const,uint,uint,bool)
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 05 февраля 2020 00:55 · Личное сообщение · #9 там любые вопросы обсуждаются определения удаляется удалением названия функции и удалением квалификатора что она библиотечная Alt+p в idaview а не undef,def кода гугл быстро находит что это за функции остаеться только глазками убедится действительно ли это она изучив контекст в котором вызывается и который она вызывает по двум строчкам функции ни названия ни что делает функция никто не сможет определить на 100% \| Сообщение посчитали полезным: Scorpion13, morgot

Для печати