Русский / Russian English / Английский

Сейчас на форуме: Radiola (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 . >>
Посл.ответ Сообщение


Ранг: 2011.4 (!!!!)
Статус: Модератор
retired

Создано: 27 марта 2017 11:54 New!
Цитата · Личное сообщение · #1

Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0



Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 26 декабря 2018 16:37 New!
Цитата · Личное сообщение · #2

ильфак про люмию
Thank you for your kind words about Lumina. It is an experimental feature and we are happy to hear that you found it useful.

We did not publish the details about the hashes and metadata that is stored in the database because we have not settled down to a particular format that is definitely better than other formats. We need to experiment and discover what works and what does not.

So the information below is just to satisfy your curiosity; it may change any time without any notice; technicalities as well as policies may change.

We currently use just one big database for all processors. It is unlikely that the function bodies for different processors will accidentally match, so there is no need to separate them. IDA calculates a hash over the function body (naturally it has to exclude some variable bits) and sends it to Lumina. If Lumina has metadata associated with the hash, it responds with the metadata and IDA applies it to the database. We use plain simple MD5 because it is fast and produces reasonably short values. SHA-1/SHA-256 and similar hashes would be an overkill (it would at least double the consumed space without much benefit; as you already noticed there are already false positives but not because of MD5).

Given the nature of binary programs and our algorithms, there will be false positives, especially on short functions. However, long functions should be recognized reliably.

Currently we do not offer any incentives because it is difficult for us to measure user contributions. The biggest question is the quality of metadata. We can not rely on the volume of submissions because it is easy to upload junk metadata, which won't help others, or even would purposefully harm them. Also we can not measure the quality of metadata ourselves because we do not have the function bodies. I think the best approach would be to introduce something like karma or bonus points that can be attributed by the users who downloaded metadata and found it useful. For example, if Lumina found some matching metadata and the user successfully applied it to his database, he could vote for this metadata. Voting positively would increase the karma of to the metadata author. Voting negatively would decrease it. These karma or bonus points then would be converted into support extension, new licenses, etc. We need to work out the details but I hope that the idea is clear.

We do not have the logic described above but probably it a good idea to start uploading good metadata to Lumina. It may pay back later, especially if you manage to upload metadata for popular functions. Popular functions will be encountered in many binaries and many other users will benefit from your work.

We plan to improve Lumina and add other algorithms to match functions. Using microcode is one of the ideas that come into mind. As usual, execution is everything, so it will take some time. BTW, we are happy how Lumina works now: our implementation is simple but very robust. Currently we have a few hundred connections to it permanently and it handles all of them well, without glitches of any kind.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 7 января 2019 06:32 New!
Цитата · Личное сообщение · #3

удобная штука, может кому-нибудь сгодится:

If a process allocates a dynamic memory using VirtualAlloc, HeapAlloc, new, etc. and continues execution from that address, most of times, the memory address will be different for each different execution, it means that if we comment, rename variables or set breakpoints, nothing of this will be left in the next execution because the shellcode or code section will take a different memory address.

--> dumpDyn.py <--is IDAPython plugin(script) which saves comments, names, breakpoints, functions from one execution to another.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 15 января 2019 09:32 New!
Цитата · Личное сообщение · #4

Года три назад на иде 5.5 была проблема с "Sorry, this database has been created by a pirate version of IDA". Тогда я руками поправил.
Но помню mysterio говорил, что есть для этого дела patch.
A вот для версии 7.0 нет ли у кого такого же patch'a? A то руками и долго и нудно.


Ранг: 256.9 (наставник)
Статус: Участник

Создано: 15 января 2019 09:42 New!
Цитата · Личное сообщение · #5

plutos пишет:
A вот для версии 7.0 нет ли у кого такого же patch'a?

На том же руборде всегда подобное есть. А вообще недолго и ненудно:
Code:
  1. ida64.dll
  2. (#16CDEE): 90 90

| Сообщение посчитали полезным: plutos



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 15 января 2019 10:24 · Поправил: plutos New!
Цитата · Личное сообщение · #6

f13nd пишет:
На том же руборде всегда подобное есть


Ссылка есть?

Я люблю использовать уже готовое ибо во-первых, ленив, а во-вторых, зачем заново велосипед изобретать?
Ты же не будешь теорему Пифагора каждый раз выводить и доказывать по-новому?
Если кто-то уже сделал, протестировал, то зачем снова тратить время? Code reuse.
Опять же, если у меня есть готовый класс или функция, то не трать время, бери, пользуйся.
Жизнь коротка.
PS
А впрочем и правда легко, когда знаешь где и не надо искать. Поправил сам. Спасибо, Fiend!


Ранг: 256.9 (наставник)
Статус: Участник

Создано: 15 января 2019 10:42 New!
Цитата · Личное сообщение · #7

plutos пишет:
Ссылка есть?

--> Link <--
Я обычно таким напилингом-паялингом сам занимаюсь. Во-первых нетрудно, во-вторых с описанием самого патча вон бывают проблемы, быстрей сделать чем найти. Был бы дистрибутив, остальное приложится.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 16 января 2019 04:01 New!
Цитата · Личное сообщение · #8

--> Virtuailor<-- - IDAPython tool for C++ vtables reconstruction

Virtuailor is an IDAPython tool that reconstructs vtables for C++ code written for intel architechture and both 32bit and 64bit code. The tool constructed from 2 parts, static and dynamic.

The first is the static part, contains the following capabilities:
•Detects indirect calls.
•Hooks the value assignment of the indirect calls using conditional breakpoints (the hook code).

The second is the dynamic part, contains the following capabilities:
•Creates vtable structures.
•Rename functions and vtables addresses.
•Add structure offset to the assembly indirect calls.
•Add xref from indirect calls to their virtual functions(multiple xrefs).

| Сообщение посчитали полезным: =TS=


Ранг: 156.3 (ветеран)
Статус: Участник

Создано: 21 января 2019 22:09 New!
Цитата · Личное сообщение · #9

Не завалялись у кого бинарники IDA Signsrch 1.4 (Updated to IDA SDK 6.8 version. Added a 64 bit "EA64" version)?

Ранг: 80.5 (постоянный)
Статус: Участник

Создано: 25 января 2019 18:33 New!
Цитата · Личное сообщение · #10

А где взять сигнатуры делфи под иду, у меня ида делфи функции многие не распознает, idr на порядок больше делает. Вот как бы подгрузить в нее сигнатуры эти.

Ранг: 40.0 (посетитель)
Статус: Участник

Создано: 30 января 2019 14:53 New!
Цитата · Личное сообщение · #11

Привет

Подскажите есть такая либа https://cloud.mail.ru/public/GvyW/Ly6vxSLdx

Вся в байтах. Как и есть ли плагины для ида что автоматом конвертировать все байты в либе в буквы? А еще лучше в слова сразу


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 31 января 2019 10:20 New!
Цитата · Личное сообщение · #12

Пытаюсь наладить kernel debugging hypervisor'a с помощью windbg на ida 7.0, следуя вот этой статье:
https://www.securitylab.ru/contest/444112.php
В ней, в частности, говорится:
"После этого запустить 2 экземпляра IDA PRO, выбрать тип отладки KernelMode, указать в Process Option->Connection string следующие строки, полученные в результате выполнения вышеприведенных команд:

net:port=50002,Key=2ryd8m5mtthis.yomvgm0wtjzp.2ip83bg5uczdf.1ya73ieco8mhj – root-раздел
net:port=50000,Key=2hxy6pt2onihj.hfak67vz3rei.14kocxhm1ucio.2lhd41tj99oa2 -hypervisor

тем самым получив возможность одновременной отладки root-раздела и гипервизора."

Connection string имеются, затем в "Debug options" выбираю "kernel mode debugging", а что нужно указать в качестве "Application name"?

Или нужно обязательно открыть какую-нибудь программу, а потом уже переходить в kernel mode debugging?

Ранг: 112.9 (ветеран)
Статус: Участник

Создано: 3 февраля 2019 04:55 New!
Цитата · Личное сообщение · #13

Подскажите плагин для парсинга MSVC RTTI


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 3 февраля 2019 05:07 · Поправил: plutos New!
Цитата · Личное сообщение · #14

IDA 7.0:
--> RTTI: new plugin for parsing RTTI (run-time type information) produced by MSVC, GCC and LLVM in PE, COFF and ELF files<--

или:

--> RTTI Parsing IDA plugin<--
•Handles RTTI and C++ name demangling for:
◦X86 GCC
◦X86 MSVC
◦X64 GCC
◦X64 MSVC

| Сообщение посчитали полезным: vden, mak



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 6 февраля 2019 06:35 New!
Цитата · Личное сообщение · #15

Ilfak Guilfanov Retweeted Corellium
Yes, we plan to release a beta version of OSX/iOS kernel debugging very soon (this week normally)


If you have a current IDA license and would like to participate in a beta of the new IDA kernel debugging feature using Corellium send us a DM. (to Corellium @CorelliumHQ)


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 10 февраля 2019 05:35 New!
Цитата · Личное сообщение · #16

--> idenLib - Library Function Identification<--

When analyzing malware or 3rd party software, it's challenging to identify statically linked libraries and to understand what a function from the library is doing.

idenLib.exe is a tool for generating library signatures from .lib files.

idenLib.dp32 is a x32dbg plugin to identify library functions.

idenLib.py is an IDA Pro plugin to identify library functions.

| Сообщение посчитали полезным: mak, VOLKOFF, =TS=


Ранг: 156.3 (ветеран)
Статус: Участник

Создано: 11 февраля 2019 21:51 New!
Цитата · Личное сообщение · #17

plutos пишет:
idenLib


Только что добавили поддержку х64, вот теперь можно и посмотреть


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 19 февраля 2019 11:57 · Поправил: plutos New!
Цитата · Личное сообщение · #18

Короткое видео - 14 минут:

--> Setting up IDA to analyze the ARM firmware<--


Ранг: 44.5 (посетитель)
Статус: Участник

Создано: 4 марта 2019 21:39 New!
Цитата · Личное сообщение · #19

ну что, прощай идаv2.0 https://redasm.io/, бгг

| Сообщение посчитали полезным: plutos, mak



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 4 марта 2019 21:49 New!
Цитата · Личное сообщение · #20

specz пишет:
прощай идаv2.0


не надо печалиться! монополия - плохо, а конкуренция это всегда хорошо, потребитель выигрывает.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 4 марта 2019 23:46 New!
Цитата · Личное сообщение · #21

Так а кто юзал этот redasm? Стоящее что-то?
А монополии давно нет, наверное. Есть же и радаре (хоть и ругают его, но кое что он может), и от АНБ была какая-то поделка, и еще какие-то менее популярные вещи. Просто что ида это как стандарт, к сожалению. Как винда или машина лада, где люди матерятся, ругают, но все же юзают.

Ранг: 50.0 (постоянный)
Статус: Участник

Создано: 4 марта 2019 23:52 New!
Цитата · Личное сообщение · #22

morgot пишет:
от АНБ была какая-то поделка

в паблике?
поподробней плиз


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 5 марта 2019 00:29 · Поправил: reversecode New!
Цитата · Личное сообщение · #23

Представят на конфе РСА с 4-7 марта 19 года
ждем
https://news.ycombinator.com/item?id=18828083
https://www.rsaconference.com/events/us19/agenda/sessions/16608-Come-Get-Your-Free-NSA-Reverse-Engineering-Tool
5 марта представят на конфе

лучше почитать как малолетних хакеров разводят
https://www.linkedin.com/pulse/100000year-you-can-solve-reverse-engineering-test-john-coates/


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 5 марта 2019 00:31 New!
Цитата · Личное сообщение · #24

spinz
я лишь новости помню на эту тему, сам инструмент в руках не держал. Что выложили или выложат чего-то там, чем пользуются в АНБ.

Кстати, посмотрел бегло этот redasm. Интересная вещь, портабл (мне лично так удобней), быстро открывает файлы, дизайн приятный. Из минусов, наверное, можно выделить отсутствие поддержки питухона (или я не нашел как, но вроде таки нет). Соответственно, комьюнити не поддержит.


Ранг: 256.9 (наставник)
Статус: Участник

Создано: 5 марта 2019 00:55 New!
Цитата · Личное сообщение · #25

Я где-то линк давал на пдф из архива сноудена, где скрин предположительно гидры. Тоже в ожиданиях когда же эту вундервафлю покажут.


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 5 марта 2019 10:52 · Поправил: reversecode New!
Цитата · Личное сообщение · #26

https://old.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/

https://www.nsa.gov/resources/everyone/ghidra/
ждем
отдельный сайт да, но хотел показать что официальный реф с сайта нса


Ранг: 522.4 (!)
Статус: Участник
Победитель турнира 2010

Создано: 5 марта 2019 11:18 New!
Цитата · Личное сообщение · #27

Вроде как запилили отдельный сайт для релиза - https://ghidra-sre.org/


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 5 марта 2019 22:53 · Поправил: plutos New!
Цитата · Личное сообщение · #28

OKOB пишет:
отдельный сайт для релиза - https://ghidra-sre.org/


Там на logo, где гидра изрыгает нули и единицы, если внимательно присмотреться, то это не просто так, а бинарный код, который при переводе в ASCII дает "Hello World!"

наверное можно было бы придумать что-нибудь и покруче, но традиция есть традиция.


Ранг: 256.9 (наставник)
Статус: Участник

Создано: 6 марта 2019 03:14 · Поправил: f13nd New!
Цитата · Личное сообщение · #29

Свершилось, качайте
Ээх...
Code:
  1. 6502
  2. 68000
  3. 6805
  4. 8051
  5. 8085
  6. AARCH64
  7. ARM
  8. Atmel
  9. CR16
  10. DATA
  11. JVM
  12. MIPS
  13. PA-RISC
  14. PIC
  15. PowerPC
  16. Sparc
  17. TI_MSP430
  18. Toy
  19. x86
  20. Z80


Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 6 марта 2019 03:55 New!
Цитата · Личное сообщение · #30

шлак
теперь понятно почему открыли
ида рвет ее

| Сообщение посчитали полезным: sty



Ранг: 256.9 (наставник)
Статус: Участник

Создано: 6 марта 2019 04:12 New!
Цитата · Личное сообщение · #31

reversecode пишет:
теперь понятно почему открыли

американские налогоплательщики аналог иды не потянули.

| Сообщение посчитали полезным: sty

<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 . >>
 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)

Видеокурс ВЗЛОМ