Русский / Russian English / Английский

Сейчас на форуме: korober2, Veliant (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 . >>
Посл.ответ Сообщение


Ранг: 2011.4 (!!!!)
Статус: Модератор
retired

Создано: 27 марта 2017 11:54 New!
Цитата · Личное сообщение · #1

Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0



Ранг: 256.9 (наставник)
Статус: Участник

Создано: 29 сентября 2019 17:35 New!
Цитата · Личное сообщение · #2

DenCoder пишет:
джавовский код для меня ещё тот гемор

Там есть петон на такие случаи.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 29 сентября 2019 22:42 New!
Цитата · Личное сообщение · #3

f13nd, спасибо!
кстати, это тянет на статью! (в хорошем, научном смысле слова!)

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 29 сентября 2019 23:21 · Поправил: sim_19 New!
Цитата · Личное сообщение · #4

f13nd пишет:
Допустим есть некоторый известный всем алгоритм и он в x86 (это шулерский прием сравнивать иду по x86, но некоторые считают, что кроме него ничего не существует)


Интересное расследование. Позже нужно будет попробовать вникнуть, а то вдруг все это рассчитано на то, что Инди в этом не разбирается, а остальные заняты своими проблемами, поэтому поверят на слово и наставят лайков.


Ранг: 256.9 (наставник)
Статус: Участник

Создано: 29 сентября 2019 23:50 New!
Цитата · Личное сообщение · #5

sim_19 пишет:
Позже нужно будет попробовать вникнуть, а то вдруг

sim_19 пишет:
поверят на слово и наставят лайков.

А куда ты блин ставишь не разобравшись?

Проблема стара как ида: в интеле еще более-менее она может динамическую адресацию сворачивать внутренними средствами дизасма, в других архитектурах берись за мнемонику или опкод инструкции и разматывай сам, делай дизасм в дизасме. Микрокод (появившися в 7.1) частично снимает эту проблему, но для 3 архитектур, на каждую по две разрядности. Ее давно бы на другие рельсы переставить, но кто тогда станет платить за каждый декомпилер по отдельности и в несколько раз больше, чем за саму иду?

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 30 сентября 2019 00:43 New!
Цитата · Личное сообщение · #6

f13nd пишет:
А куда ты блин ставишь не разобравшись?


Так в долг ставлю, с надеждой в перспективе разобраться без всякого шулерства.
А то есть, знаете ли, отдельные личности из стран ближнего зарубежья...


f13nd пишет:
но кто тогда станет платить за каждый декомпилер по отдельности и в несколько раз больше, чем за саму иду?


Не знаю, у меня, по всей видимости, не такой опыт как у f13nd'а, но для меня на данный момент - существует два декомпилера, это у Иды и у Гидры. А все эти RetDec, Reko и т.п. на порядок проигрывают. У Радара с этим тоже напряженка, а вроде бы, есть какое-то свое подобие микрокода (не помню названия).
Так что может рейс и стоит своих денег, с учетом вложеного в него времени и знаний. Другое дело, что не у каждого есть такие деньги и еще интересный момент: как посчитать сколько он должен стоить?


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 3 октября 2019 02:37 · Поправил: plutos New!
Цитата · Личное сообщение · #7

sim_19 пишет:
А все эти RetDec, Reko и т.п. на порядок проигрывают. У Радара с этим тоже напряженка


Меня очень интересуют сравнительные характеристики различных инструментов.
В сравнении сразу видны и плюсы и минусы.
Поэтому не могли бы Вы, как это сделал глубокоуважаемый fiend, проиллюстрировать свои слова конкретными примерами?
Думаю многим было бы интересно.
Да и хочется сравнить свое мнение с мнением других людей: что-то они увидели, чего я, скажем, не заметил, и наоборот.
Заранее спасибо!

PS
поскольку эта тема про иду, то и сравнивать хорошо бы именно с ней


Ранг: 256.9 (наставник)
Статус: Участник

Создано: 3 октября 2019 03:45 New!
Цитата · Личное сообщение · #8

plutos пишет:
Меня очень интересуют сравнительные характеристики различных инструментов.

Шо, опять?
Когда в последний раз видел радар, там все совсем было плохо со скриптингом, даже писал об этом в соответствующей теме. На самом деле в радаре есть нормальный интерфейс для петона, через vala bindings (не представляю как это работает, но по-моему пользователи майкрософт это никогда не смогут оценить), о чем говорят семплы из radareorg/radare2-bindings/python. Но в соответствующем модуле anal (да, он так называется) не вижу апей (radareorg/radare2-bindings/vapi/r_anal.vapi), которые были бы ширше и продвинутей, чем у иды. Устанавливать линукс только ради копания в этом anal'е считаю затеей сомнительной.
У RetDec очень скучный список архитектур. Возможно замечательный инструмент, но пусть кто-нибудь другой его смотрит. У reko казалось бы посолидней, но это даже не интерактивный дизассемблер, вообще программа очень скромно выглядит. И там зачем-то есть OllyScript.

| Сообщение посчитали полезным: plutos



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 3 октября 2019 04:36 · Поправил: plutos New!
Цитата · Личное сообщение · #9

f13nd пишет:
Шо, опять?

f13nd, мой вопрос был адресован не Вам. (No offence!)

просто хотелось услышать мнение sim_19, который смотрит "свежим глазом"

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 3 октября 2019 13:15 · Поправил: sim_19 New!
Цитата · Личное сообщение · #10

plutos пишет:
глубокоуважаемый fiend


Ну, тогда уж сразу friend.
Нужно как-то чуть поакуратней с философскими никами глубокоуважаемых людей, а то f13nd ведь тоже может упростить космос до чего-нибудь более приземленного.

plutos пишет:
Да и хочется сравнить свое мнение с мнением других людей: что-то они увидели, чего я, скажем, не заметил, и наоборот.


Не подумайте, что я "отмазываюсь". Нет - я не против, но предлагаю все же начать с вас. Возмите какой-нибудь свой образец exe-файла, на который у вас есть исходник и сравните. А далее свой субъективный вывод: считаю RetDec, Reko вполне достойными декомпиляторами, которые почти на равных конкурируют с более именитыми аналогами. Принимая во внимание, что пользоваться ими можно абсолютно бесплатно. А далее, следом за вами, я опишу свой взгляд на эти вещи (с конкретными примерами). Вот это будет более интересней и ближе к какой-то относительной объективности.

P.S. Попутно хотел узнать ваше мнение по поводу > поста #18 (sty) < , а то как-то немного все "замылилось" и не совсем понятно как кто к этому относится: серьезный ли это недостаток или так мелкий недочет с которым вполне себе можно работать.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 4 октября 2019 05:41 New!
Цитата · Личное сообщение · #11

--> Scripts and cheatsheets for IDAPython <--

| Сообщение посчитали полезным: DenCoder, mak



Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 8 октября 2019 04:07 New!
Цитата · Личное сообщение · #12

Как же все таки исправить ошибку с отладкой в Ида? Вот здесь вопрос поднимался, ответили что нужно обновить Иду. Но, это нереально по понятным причинам. Да и ошибка проявляется не всегда. А именно - когда пробую 32 битной Ида дебажить 32 битное приложение на Windows10x64. Что интересно, на 64 битной семерке такая же Ида вполне себе дебажит, ровно как и на убунту. Пробовал запускать от админа - не помогает.

Точнее, то что мне надо , делается через windbg, просто в нем настолько страшный интерфейс, что я не могу ничего понять - ни в новой версии с плеймаркета, ни в оригинальной. Или я тупой, или там нельзя пошагово трейсить как в олли/х64дбг, в общем хотел заюзать Иду как оболочку, и то не вышло.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 8 октября 2019 05:20 New!
Цитата · Личное сообщение · #13

morgot пишет:
Или я тупой, или там нельзя пошагово трейсить как в олли/х64дбг


я не знаю, что именно ты пытаешься trace, поэтому, на вскидку: глянь --> тут <--.
Мне в свое время пригодилось.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 10 октября 2019 22:19 New!
Цитата · Личное сообщение · #14

--> Tool <--for PDB generation from IDA Pro database

Ранг: 2.6 (гость)
Статус: Участник

Создано: 11 октября 2019 14:52 New!
Цитата · Личное сообщение · #15

Здравствуйте! Есть такая проблема: когда я дизассемблирую программы, скомпилированные с помощью MinGW GCC, IDA почему-то некорректно распознаёт фреймы процедур! Дело в том, что GCC формирует передачу параметров не через стандартные операции push/pop, а непосредственно пишет параметры в стек с помощью инструкций MOV, предварительно зарезервировав фрейм. IDA этого не понимает, из-за чего локальные переменные распознаются неверно, что ощутимо затрудняет исследование кода. Скажите, можно ли как-то решить эту проблему? У меня сейчас стоит версия 7.

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 11 октября 2019 17:40 New!
Цитата · Личное сообщение · #16

Какой-то, видимо, слишком "утонченный" троллинг.
Ради интереса проверил на версии 6.8 - Ида все поняла правильно.
Видимо, чем выше версия Иды, тем она глупее.
Да! Стареет старик Ильфак, стареет и Ида вместе с ним.
Ради интереса захотелось потестировать Иду версии 4.5.
Никто не подскажет где ее можно найти?


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 11 октября 2019 22:12 · Поправил: plutos New!
Цитата · Личное сообщение · #17

LShadow77 пишет:
Скажите, можно ли как-то решить эту проблему?


Если stack frame is not correctly aligned, это можно исправить путем изменения stack pointer'a:
Options tab =>
Click General =>
Check the Stack Pointer

Слева увидишь stack pointers и инструкцию типа sub esp, 0xSomeHexh:
Click на sub esp, 0xDifference_Between_old_and_new_SP_hex,
press Alt+k, появится диалог Change SP value, click OK, click F5

Надеюсь поможет.

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 12 октября 2019 12:18 New!
Цитата · Личное сообщение · #18

plutos, не подумайте чего-нибудь плохого, но мне стало интересно: как нужно скомпилировать исходник в GCC, чтобы можно было воспользоваться вашим советом? Я уже и размеры переменных менял (одновременно использовал разные размеры), но компилятор и Ида - прекрасно справляются со своими функциями. Я думаю, что только как-то можно искуственно вручную пропатчить, ну тогда причем здесь GCC? А то вдруг я где-то "не догоняю"?


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 13 октября 2019 23:59 · Поправил: plutos New!
Цитата · Личное сообщение · #19

IDA Pro --> plugin <--provides TileGX support

Cisco Talos has a new plugin available for IDA Pro that provides a new disassembler for TileGX binaries. This tool should assist researchers in reverse-engineering threats in IDA Pro that target TileGX.



Ранг: 1031.4 (!!!!)
Статус: Участник

Создано: 14 октября 2019 17:04 · Поправил: reversecode New!
Цитата · Личное сообщение · #20

sim_19 пишет:
А то вдруг я где-то "не догоняю


а то, с опытом прийдет

кстати ида 7.4 говорят вышла
может теперь чаше релизится будет


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 16 октября 2019 01:51 · Поправил: plutos New!
Цитата · Личное сообщение · #21

reversecode пишет:
кстати ида 7.4 говорят вышла


так таки ДА!

New IDA 7.4 and Decompilers released!

Welcome to IDA 7.4!

Подробности (Change logs):

IDA 7.4: --> здесь <--
Decompilers:--> здесь <--

7.4: global structure cross-references in the decompiler.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 19 октября 2019 03:25 · Поправил: plutos New!
Цитата · Личное сообщение · #22

В продолжение темы --> HexRaysDeob<-- (July 7, 2019, post #28)

Hex-Rays microcode API plugin for breaking an obfuscating compiler (C++ code)

--> pyhexraysdeob <--

This is a port of Rolf Rolles' HexRaysDeob to IDAPython.

This port matches the C++ source code as much as possible on purpose, and is by no means 'pythonic' Python code.
Still, it is a great way to demonstrate how the 'microcode' API can be used from IDAPython.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 22 октября 2019 00:38 · Поправил: plutos New!
Цитата · Личное сообщение · #23

Video Tutorial:

IDA Pro --> Tutorial <--- Reverse Engineering Dynamic Malware Imports

Warning: it's in ENGLISH. You've been warned!


Ранг: 522.4 (!)
Статус: Участник
Победитель турнира 2010

Создано: 23 октября 2019 10:20 New!
Цитата · Личное сообщение · #24

--> IDA Plugins list <--

| Сообщение посчитали полезным: DenCoder, plutos, morgot



Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 23 октября 2019 21:15 New!
Цитата · Личное сообщение · #25

Прикольно! Интересно много плагинов, интерес пока остановился на Debugger plugin for IDA Pro backed by the Unicorn Engine, в недалёком будущем надо попробовать


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 24 октября 2019 23:37 New!
Цитата · Личное сообщение · #26

IDA, I Think It’s Time You And I Had a Talk:
--> Controlling IDA Pro With Voice Control Software<--

| Сообщение посчитали полезным: AE



Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 1 ноября 2019 00:38 New!
Цитата · Личное сообщение · #27

--> VMX_INTRINSICS <--

This plugin allow to display unhandled VMX instructions into their respective intrinsic form when using the decompiler:

Original output (the value of the register RAX is not even displayed):

Code:
  1. _RCX = 0x41424344i64;
  2. __asm { vmwrite rax, rcx }


Output with the plugin (the value of the VMCS field is now displayed correctly):

Code:
  1. v8 = __vmx_vmwrite(0x681Eui64, 0x41424344ui64);


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 19 ноября 2019 00:28 New!
Цитата · Личное сообщение · #28

IDA Pro Malware Analysis --> Tips <--

Ранг: 20.0 (новичок)
Статус: Участник

Создано: 19 ноября 2019 14:00 · Поправил: soft New!
Цитата · Личное сообщение · #29

подскажите, возможно ли объявить в IDA структуру с битовыми полями?
например:
Code:
  1. typedef struct Foo
  2. {
  3.          DWORD  bitfield1:2;
  4.          DWORD  bitfield2:4;
  5.          DWORD  bitfield3:8;
  6. }


В доках IDA есть про enum bitfield, но как быть если нужна структура bitfield?


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 ноября 2019 06:32 · Поправил: plutos New!
Цитата · Личное сообщение · #30

FIDL library, a wrapper around the Hex-Rays API

Code:
  1. While the Hex-Rays decompiler is a powerful source of information during reverse engineering,
  2.  writing generic scripts and plugins using the default API 
  3. is difficult and requires handling numerous edge cases. 
  4.  
  5. This post introduced the FIDL library, a wrapper around the Hex-Rays API, 
  6. which fixes this by reducing the amount of low-level details an analyst needs 
  7. to understand in order to create a script leveraging the decompiler and should
  8.  make the creation of these scripts much faster. 
  9.  


You can find FIDL in the --> FireEye GitHub <--repository.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 9 декабря 2019 04:31 New!
Цитата · Личное сообщение · #31

Extending IDA processor modules for GDB debugging --> Link <--

The full source code for the plugin can be found at
--> here <--.
<< 1 ... 9 . 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 . >>
 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)

Видеокурс ВЗЛОМ