Русский / Russian English / Английский

Сейчас на форуме: Adler (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 . >>
Посл.ответ Сообщение


Ранг: 2011.4 (!!!!)
Статус: Модератор
retired

Создано: 27 марта 2017 11:54 New!
Цитата · Личное сообщение · #1

Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 25 июля 2019 22:03 New!
Цитата · Личное сообщение · #2

--> Windows Driver Plugin <--
An IDA Pro plugin to help when working with IOCTL codes or reversing Windows drivers.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 29 июля 2019 21:30 New!
Цитата · Личное сообщение · #3

Что значит _pair_ ?
xref на эту "функцию" нет. Бинарник, походу, написан на С++, т.к. в коде присутствует this.


Ранг: 50.1 (постоянный)
Статус: Участник

Создано: 29 июля 2019 21:45 New!
Цитата · Личное сообщение · #4

morgot, оно?

| Сообщение посчитали полезным: plutos, morgot



Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 30 июля 2019 01:18 New!
Цитата · Личное сообщение · #5

Adler
да, спасибо, это оно,судя по всему seems to be a macro that computes an unsigned long value from its two arguments, which it interprets as containing the high and low bits of that value.
В коде это LARGE_INTEGER, и там софт работает с обеими частями.

Ранг: 33.8 (посетитель)
Статус: Участник

Создано: 9 августа 2019 13:56 New!
Цитата · Личное сообщение · #6

Коллеги приветствую.
Подскажите, а существует ли в природе плагин, который в окошке вывода результата декомпиляции умеет сворачивать произвольные участки кода, как это делает встроенная ф-ия Collapse Item (Numpad+-)

Утомительно анализировать большие ф-ии ( 60+ кб, 2000+ строк)

Спасибо.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 9 августа 2019 21:36 · Поправил: plutos New!
Цитата · Личное сообщение · #7

awlost пишет:
Подскажите, а существует ли в природе плагин, который в окошке вывода результата декомпиляции умеет сворачивать произвольные участки кода, как это делает встроенная ф-ия Collapse Item (Numpad+-)


Наверное не совсем то (а может и совсем не то), но есть функция:
"Unhide collapsed items automatically when jumping to them"
(Browser tab of IDA's Options window, check box).
То может где-то есть и обратное? Если найду, сообщу.

Ранг: 588.9 (!)
Статус: Модератор

Создано: 9 августа 2019 22:00 New!
Цитата · Личное сообщение · #8

это про свернутый код в окне дизасма. в декомпиле нельзя свернуть, насколько я знаю. но было бы неплохо сделать поддержку регионов, да. и желательно древовидных.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 10 августа 2019 00:42 New!
Цитата · Личное сообщение · #9

IDA Pro plugin (--> HexRaysPyTools <--) improves working with HexRays decompiler and helps in process of reconstruction structures and classes

The plugin assists in the creation of classes/structures and detection of virtual tables.
It also facilitates transforming decompiler output faster and allows to do some stuff which is otherwise impossible.

Ранг: 57.9 (постоянный)
Статус: Участник

Создано: 10 августа 2019 22:21 · Поправил: reverser New!
Цитата · Личное сообщение · #10

r_e пишет:
в декомпиле нельзя свернуть, насколько я знаю

кое-что можно


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 21 августа 2019 00:41 New!
Цитата · Личное сообщение · #11

--> IDA+Triton <-- plugin in order to extract opaque predicates where their computation is local to a single basic block using a Forward-Bounded DSE.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 23 августа 2019 02:06 · Поправил: plutos New!
Цитата · Личное сообщение · #12

IDA Pro plugin to manage classes --> CLASSY <--

Code:
  1. Classy allows easily managing classes in IDA Pro. 
  2. Vtables can be generated by selecting a range, functions can be assigned to classes, 
  3. their signatures can be easily editing and mangled, IDA structs can be assigned,
  4.  C headers can be generated, probably more :)

Warning by the author of the plugin: Bugs might and probably are everywhere.

| Сообщение посчитали полезным: =TS=



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 августа 2019 03:12 New!
Цитата · Личное сообщение · #13

Introduction to --> WinDbg2IDA <--
Windbg2ida lets you dump each step (instruction) in WinDbg then give you a dump file
and you can use it later in your IDA to put color on each line of the instructions that you've run to show code coverage.


Ранг: 23.7 (новичок)
Статус: Участник

Создано: 26 августа 2019 07:04 New!
Цитата · Личное сообщение · #14

plutos
все ваши посты относятся к IDA>7.0?
в частности, последний пост (WinDbg2IDA) не заведётся на Win7, потому что у windbg нет jsprovider.dll? То есть, нужна Win10 и последний windbg?


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 августа 2019 08:53 · Поправил: plutos New!
Цитата · Личное сообщение · #15

parfetka пишет:
все ваши посты относятся к IDA>7.0?


Как правило, чем новее tool, тем более вероятно, что он для IDA 7.2. Aвторы на гитхабе оговаривают, если есть ограничения.
Но не ошибешься, если установлены самые свежие версии и WinDbg и Windows SDK.

в частности, последний пост (WinDbg2IDA) не заведётся на Win7, потому что у windbg нет jsprovider.dll? То есть, нужна Win10 и последний windbg?

Если вы про это:

Important note : If you can't load the script or the script gives you error about using files then make sure to update you windbg (Windows SDK) to the latest version as the previous versions have problem with using file with JavaScript.

Ранг: 23.7 (новичок)
Статус: Участник

Создано: 27 августа 2019 09:10 New!
Цитата · Личное сообщение · #16

plutos
да, про это. В "старых" версиях WinDbg нет файла jsprovider.dll, необходимого для загрузки JavaScript. А новые, кажется, на Win7 не устанавливаются, только на Win10? Вот и спрашиваю, есть ли возможность заценить WinDbg2IDA на Win7 не устанавливая Win10?


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 27 августа 2019 10:14 · Поправил: plutos New!
Цитата · Личное сообщение · #17

parfetka пишет:
есть ли возможность заценить WinDbg2IDA на Win7 не устанавливая Win10?


я не пробовал на win 7
Согласно Microsoft:
Code:
  1. WinDbg Preview for Windows 10 includes a new JavaScript engine
  2.  and an exposed debugging data model through a set of JavaScript objects and functions.


Поэтому самая простая схема: Windows 10 + WinDbg Preview.

Если установка Windows 10 невозможна по каким-либо причинам, попробуйте
Windows 7 + последяя версия Windows SDK (C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\jsprovider.dll) + WinDbg (обычная версия, не preview).

Т.е. на Windows 7 возможно будет работать, но с последней версие SDK, который содержит jsprovider.dll.

| Сообщение посчитали полезным: parfetka


Ранг: -26.7 (нарушитель)
Статус: Участник

Создано: 29 августа 2019 17:50 New!
Цитата · Личное сообщение · #18

Интересно, кто-нибудь пользуется в Иде 7.2 32-х битным декомпилятором (хексрейс, который) от Иды 7.0? Почему спрашиваю? Работает криво. Т.е. в Иде 7.0 - все нормально, а вот в Иде 7.2 с декомпилем от Иды 7.0 - результаты не впечатляют. Похоже, Ильфак обошелся с халявщиками не по-товарищески. Так-то, вроде, и не страшно, можно и в 7-й Иде работать, но вот хотелось бы чтоб плагины Dsync и hexext можно было использовать.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 29 августа 2019 21:40 · Поправил: plutos New!
Цитата · Личное сообщение · #19

sty пишет:
Работает криво. Т.е. в Иде 7.0 - все нормально, а вот в Иде 7.2 с декомпилем от Иды 7.0 - результаты не впечатляют.


Не могли бы Вы привести конкретные примеры для версий 7.0 и 7.2? и что именно "не впечатляет"?
Любопытно было бы взглянуть и сравнить.
Заранее спасибо!

| Сообщение посчитали полезным: ambro83


Ранг: -26.7 (нарушитель)
Статус: Участник

Создано: 29 августа 2019 22:56 New!
Цитата · Личное сообщение · #20

plutos пишет:
Любопытно было бы взглянуть и сравнить.
Заранее спасибо!


Эх, plutos, чтоб вы без меня делали? Так бы и работали на "кривой" Иде.
Между прочим - зря смеетесь. У меня есть факты, а у вас не будет, чем их опровергнуть.

--> Link <--

| Сообщение посчитали полезным: mak



Ранг: 556.5 (!)
Статус: Участник
оптимист

Создано: 30 августа 2019 01:05 New!
Цитата · Личное сообщение · #21

sty
Так их прикручивали от иды 7.0 не удивительно что что то не так)))


Ранг: 667.6 (! !)
Статус: Участник
CyberMonk

Создано: 31 августа 2019 13:04 New!
Цитата · Личное сообщение · #22

если ниже посмотреть, то нормальный там код, просто декомпиль затупил на CASE statement, вопрос почему ..

| Сообщение посчитали полезным: plutos



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 3 сентября 2019 02:32 · Поправил: plutos New!
Цитата · Личное сообщение · #23

IDA loader for Apple SecureROM --> srom64helper <--

Installation:
Copy srom64helper.py to the loaders folder in IDA directory.

srom64helper is based on argp's --> iBoot64helper <--:
IDAPython loader to help with iBoot64 reverse engineering


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 4 сентября 2019 00:32 New!
Цитата · Личное сообщение · #24

Думаю пригодится тем, кто сталкивался с проблеммой патчинга в ИДЕ.
Установка простейшая: Just copy DebugAutoPatch.py file to IDA plugins directory.
Все детали на гитхабе, кому интересно и нужно - прочитают.

--> Patching system improvement plugin for IDA.<--

| Сообщение посчитали полезным: =TS=



Ранг: 556.5 (!)
Статус: Участник
оптимист

Создано: 4 сентября 2019 03:05 New!
Цитата · Личное сообщение · #25

plutos пишет:
Думаю пригодится тем, кто сталкивался с проблеммой патчинга в ИДЕ

В иде есть проблема патчинга, если руки кривые


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 4 сентября 2019 03:47 · Поправил: plutos New!
Цитата · Личное сообщение · #26

ClockMan пишет:
если руки кривые


ну tak это как раз именно мой случай! Поднимаю вверх свои кривые руки и сдаюсь!

Code:
  1. These are the primary issues I have with the way patching currently works:
  2. 1.Patches made while NOT debugging do not take effect UNLESS the user first manually 
  3. patches the actual binary file before beginning the debug session.
  4.  
  5. 2.Patches made DURING the debugging session DO take effect during that particular 
  6. debugging session, but will not persist into subsequent debugging sessions unless 
  7. the user, again, manually patches the actual binary file before starting another debug session.
  8.  
  9. 3.Reverting patches is incredibly tedious. First the user must ensure to create 
  10. a backup of the original binary file. Then the user must revert ALL patches by restoring
  11.  this original file. Then the user must revert the patches they wish to revert, and then 
  12. apply all the remaining patches to the binary file.
  13.  
  14. 4.If anything happens to the backup of the original binary file or if the user 
  15. forgets to first create a backup, they must manually revert the patches in 
  16. a separate hex editor byte by byte, according to the patches stored 
  17. in the "Patched bytes" screen.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 6 сентября 2019 00:49 · Поправил: plutos New!
Цитата · Личное сообщение · #27

--> GhIDA <--: Ghidra decompiler for IDA Pro
Cisco Talos is releasing two new tools for IDA Pro: --> GhIDA <--and --> Ghidraaas<--.

Code:
  1.  GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, 
  2. giving users the ability to rename and highlight symbols and improved navigation and comments.
  3.  GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, 
  4. using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — 
  5. a simple docker container that exposes the Ghidra decompiler through REST APIs.


The Ghidra decompiler is a standalone C++ project. Source code is --> HERE <--.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 9 сентября 2019 00:57 New!
Цитата · Личное сообщение · #28

Может кто-нибудь уже пробовал GhIDA plugin и знает в чем тут дело.
Сам plugin появляется без проблем, начинает анализ, но в самом конце вылетает ошибка:
Ghidra headless analysis failed.
Я пока не копал глубоко, так, побаловался с настройками, но результат все тот же.
У меня ида 7.2, OS Win 7. Таже история и на ida32 и на ida64... (using Ghidra local installation, not Service)
У кого-нибудь работает?


Ранг: 256.9 (наставник)
Статус: Участник

Создано: 9 сентября 2019 01:40 New!
Цитата · Личное сообщение · #29

plutos пишет:
У кого-нибудь работает?

Ида 7.2 х64, питон 2.7.13 х64, гидра 9.0.4, работает (но плугин спамит в лог иды "TypeError: get_highlight expected 1 arguments, got 0"). Декомпиль может сам по себе крашнуться (правда на х86 такого не видал) и плагин возможно не при чем. Сомнительная затея по-моему, у гидры своя библиотека типов. Но на первый взгляд вроде нормально прототип и локальные переменные подхватывает.

| Сообщение посчитали полезным: ambro83



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 9 сентября 2019 22:23 · Поправил: plutos New!
Цитата · Личное сообщение · #30

IDA --> plugin <-- for UEFI analysis

This plugin performs automatic analysis of the input UEFI module.

| Сообщение посчитали полезным: mak



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 11 сентября 2019 05:55 · Поправил: plutos New!
Цитата · Личное сообщение · #31

для любителей языка GO, если таковые имеются (я один из них):

Making --> GO <--reversing easier in IDA Pro
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 . >>
 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)

Видеокурс ВЗЛОМ