Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 21 . 22 . >>
Посл.ответ Сообщение


Ранг: 2015.5 (!!!!)
Статус: Модератор
retired

Создано: 27 марта 2017 11:54 New!
Цитата · Личное сообщение · #1

Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0


Ранг: 82.5 (постоянный)
Статус: Участник

Создано: 17 октября 2017 19:52 New!
Цитата · Личное сообщение · #2

r_e, подскажи вот есть файлик main.o сделан в gcc, ида опазнает как elf файл проца атину4313, хочу там удалить одну функцию из кода и еще эта функция обращается в секцию данных, которую также хочу удалить. Цель уменьшить размер прошивки, чтобы использовать ее под свои цели. Функция вместе с секцией дата весит около килобайта. Как корректно удалить, чтобы не нарушились связи ?

| Сообщение посчитали полезным: Keksov


Ранг: 4.3 (гость)
Статус: Участник

Создано: 23 октября 2017 17:29 New!
Цитата · Личное сообщение · #3

Уважаемые коллеги. Не могу найти ответа на вопрос, можно ли в IDA загрузить две разные секции кода, по одинаковому базовому адресу. Причина в том, что в используемой архитектуре, используется селектор страницы кода. Пока я вижу, что все секции дожны лежать в непересекающихся областях памяти. Но может быть есть нюанс, которого я не знаю? Подскажите, пожалуйста.

| Сообщение посчитали полезным: Keksov



Ранг: 1056.0 (!!!!)
Статус: Участник

Создано: 23 октября 2017 18:23 New!
Цитата · Личное сообщение · #4

--> Link <--
--> Link <--



Ранг: 4.3 (гость)
Статус: Участник

Создано: 23 октября 2017 19:06 New!
Цитата · Личное сообщение · #5

reversecode Спасибо, но я не вижу ответа на свой вопрос в приведенных ссылках.



Ранг: 33.8 (посетитель)
Статус: Участник

Создано: 23 октября 2017 19:57 New!
Цитата · Личное сообщение · #6

Radiola пишет:
не вижу ответа на свой вопрос в приведенных ссылках.

... IDA allows to create several segments with the same virtual address in them. For this, you just need to create segments with correct segment base values.



Ранг: 4.3 (гость)
Статус: Участник

Создано: 24 октября 2017 16:05 New!
Цитата · Личное сообщение · #7

awlost Спасибо. Попробую разобраться.



Ранг: 82.5 (постоянный)
Статус: Участник

Создано: 24 октября 2017 20:24 New!
Цитата · Личное сообщение · #8

reversecode, не знаешь как из объектного файла выкинуть секцию данных корректно, в коде поудалял все обращения к этой секции, не знаешь как ее правильно еще удалить ?




Ранг: 1056.0 (!!!!)
Статус: Участник

Создано: 24 октября 2017 21:25 New!
Цитата · Личное сообщение · #9

знаю
декомпилировать в исходник
и дальше исходник компилировать как душе вздумается



Ранг: 82.5 (постоянный)
Статус: Участник

Создано: 25 октября 2017 19:51 New!
Цитата · Личное сообщение · #10

reversecode, это не очень удобно, я имел ввиду как в экзешники удалять секции так можно в объектном файле прошивки мк ?




Ранг: 625.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 22 ноября 2017 07:30 New!
Цитата · Личное сообщение · #11

на сайте ИДЫ (https://www.hex-rays.com/products/ida/support/tutorials/unpack_pe/unpacking.pdf) есть туториал по Universal PE Unpacker plug-in.
Там в качестве примера рассматривается файл hello-upx125w.exe.
Но ссылки на сам файл нет. Может он шел в комплекте со старой ИДОй? В google ничего не нашел...
Может у кого завалялся?




Ранг: 1056.0 (!!!!)
Статус: Участник

Создано: 22 ноября 2017 11:19 New!
Цитата · Личное сообщение · #12

нет не шел в комплекте
кеп, это "любая" прога которая упакована upx125w.exe

| Сообщение посчитали полезным: plutos


Ранг: -0.7 (гость)
Статус: Участник

Создано: 22 ноября 2017 11:57 New!
Цитата · Личное сообщение · #13

plutos пишет: есть туториал по Universal PE Unpacker plug-in

Бесполезная ерунда, без знаний алгоритмов сжатия не на анпачишь особо, а зная проще самому написать плагин или программу. Оно там лежит по принципу когда то написали, оказалось ерунда, но выкидывать жалко.

| Сообщение посчитали полезным: plutos


Ранг: 102.0 (ветеран)
Статус: Участник

Создано: 25 ноября 2017 18:11 New!
Цитата · Личное сообщение · #14

Ида при ручной трассировке через F8 доходит до исключения, закрывает дебаггер и
программу и выдаёт код выхода (exit code), а мне надо код исключения!
Возможно автоматическая трассировка это сделает? Я на Иде ей не пользовался.
Подскажите, пожалуйста, как сделать старт/стоп этой трассировки.



Ранг: 33.8 (посетитель)
Статус: Участник

Создано: 26 ноября 2017 15:54 New!
Цитата · Личное сообщение · #15

Если кто собирал Qt 5.6.3 для IDA 7.0 поделитесь патчем пожалуйста



Ранг: 593.8 (!)
Статус: Модератор

Создано: 30 ноября 2017 18:29 New!
Цитата · Личное сообщение · #16

Понадобился тут срочно idb2pat под новую иду. Вроде довел до рабочего состояния. Если скомпиленные бинари кому - пишите.

{ Атач доступен только для участников форума } - idp2pat-201711301526.zip

| Сообщение посчитали полезным: ajax



Ранг: 337.8 (мудрец)
Статус: Участник
born to be evil

Создано: 30 ноября 2017 18:37 · Поправил: ajax New!
Цитата · Личное сообщение · #17

r_e
а если бы еще собраный был под 6.8 и 7.0
r_e пишет:
держи под 70. под 68 как-нибудь сами

нормально, для pat мож и лучше. фенкс!



Ранг: 593.8 (!)
Статус: Модератор

Создано: 30 ноября 2017 19:47 New!
Цитата · Личное сообщение · #18

держи под 70. под 68 как-нибудь сами

{ Атач доступен только для участников форума } - idb2pat-ida70.zip

| Сообщение посчитали полезным: mak


Ранг: 46.1 (посетитель)
Статус: Участник

Создано: 01 декабря 2017 05:59 · Поправил: carver New!
Цитата · Личное сообщение · #19

хочу отдебажить x86 DLL от NET программы, в IDA7.
когда-то на древних версиях получалось, а сейчас в логе IDA пишет ошибку,
а прога потом пишет варнинг что не смогла загрузить 'VTHelper.dll' или зависимости 'VTHelper.dll':

DLL 'XXHelper.dll' is attempting managed execution inside OS Loader lock.
Do not attempt to run managed code inside a DllMain or image initialization function
since doing so can cause the application to hang.


гуглится только hxxps://stackoverflow.com/questions/56642/loader-lock-error
но понимания что включить в IDA - нет, как и что это такое - слабо ((((

может кто в курсе насчет этого Loader lock ?
оно и как поправить, или не там вообще смотрю.
заранее благодарен.

Добавлено спустя 41 минуту
разобрался.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework]
"MDA"="0"


добавил сразу, но для 32 под 64, нужно добавить

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework]
"MDA"="0"




Ранг: 102.0 (ветеран)
Статус: Участник

Создано: 01 декабря 2017 12:46 New!
Цитата · Личное сообщение · #20

Скажите, пожалуйста, кто знает, как в IDA установить переменную окружения?




Ранг: 337.8 (мудрец)
Статус: Участник
born to be evil

Создано: 01 декабря 2017 13:53 New!
Цитата · Личное сообщение · #21

ksol
---phuck.bat begin ---
@set PHUCK=12345
@idaq dbase.idb
---phuck.bat end ---

| Сообщение посчитали полезным: ksol


Ранг: 102.0 (ветеран)
Статус: Участник

Создано: 01 декабря 2017 17:22 New!
Цитата · Личное сообщение · #22

ajax - спасибо! Если я правильно понял, то происходит установка в среду Windows,
а специфика IDA отражается только в имени переменной.

Добавлено спустя 2 часа 19 минут
...Всё же нет! А в базу данных IDA.
-----------------------
Это пример установки переменной.
А как открыть для просмотра установленных?




Ранг: 62.3 (постоянный)
Статус: Участник

Создано: 01 декабря 2017 19:58 New!
Цитата · Личное сообщение · #23

ajax
Вообще интересный вопрос, может подскажете, можно ли как-то изменить установленную переменную окружения в запущенном процессе? Не обязательно в IDA, а в целом, например в x64dbg. Т.е. запускается приложение, в мониторинге видно установленные переменные (их имена и значения) при запуске процесса, аттачимся к процессу, а дальше где в памяти найти и изменить эти установленные переменные? Стандартная правка в "Переменные среды" не помогает.




Ранг: 337.8 (мудрец)
Статус: Участник
born to be evil

Создано: 01 декабря 2017 21:15 New!
Цитата · Личное сообщение · #24

ksol пишет: А как открыть для просмотра установленных
открыть чего? process explorer из sysinternals suite показывает все процессы
Haoose-GP
либо копать потроха системы, либо SetEnvironmentVariable() вызвать из приаттаченой либы, например



Ранг: -0.7 (гость)
Статус: Участник

Создано: 01 декабря 2017 23:17 New!
Цитата · Личное сообщение · #25

Haoose-GP пишет: Т.е. запускается приложение, в мониторинге видно установленные переменные (их имена и значения) при запуске процесса, аттачимся к процессу, а дальше где в памяти найти и изменить эти установленные переменные?

Либо потчить саму строку в бинаре или хучить системные функции (аналогично ini\cfg\реестр) и подставлять свои значения, в самом простом варианте проблему могут решить псевдонимы ака альясы.



Ранг: 102.0 (ветеран)
Статус: Участник

Создано: 02 декабря 2017 12:15 New!
Цитата · Личное сообщение · #26

ajax пишет:
открыть чего? process explorer из sysinternals suite показывает все процессы

Не процессы! А список установленных по умолчанию переменных окружения Ида!
В частности, значение переменной IDA_NOEH.




Ранг: 337.8 (мудрец)
Статус: Участник
born to be evil

Создано: 02 декабря 2017 12:40 · Поправил: ajax New!
Цитата · Личное сообщение · #27

ksol
плаг для иды напишите или либу подцепите. функцию я уже выше написал, еще GetEnvironmentStrings() - получить все переменные. вообще, оффтоп
reversecode пишет:
что то новость прошла незаметно ida sp1

ч.т.д. на 6.8 до сих пор. 7.0 косячная




Ранг: 1056.0 (!!!!)
Статус: Участник

Создано: 02 декабря 2017 15:31 · Поправил: reversecode New!
Цитата · Личное сообщение · #28

что то новость прошла незаметно ida sp1 7.0

| Сообщение посчитали полезным: plutos



Ранг: 625.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 03 декабря 2017 02:03 New!
Цитата · Личное сообщение · #29

reversecode пишет:
что то новость прошла незаметно ida sp1 7.0


List of BUGFIXов впечатляет!




Ранг: 681.5 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 03 декабря 2017 04:35 New!
Цитата · Личное сообщение · #30

Haoose-GP
Да, они есть в адресном пространстве процесса. Если не изменяет память, то АПИ винды находят их через PEB. Вам же можно, чтобы меньше заморачиваться, искать их прямо в памяти процесса. Т.е. хотите изменить какое-то значение - ищете его в памяти, меняете. Искать надо юникодовые строки.



Ранг: 102.0 (ветеран)
Статус: Участник

Создано: 04 декабря 2017 18:12 New!
Цитата · Личное сообщение · #31

Может кто скажет есть ли в скрипте IDA (*.idc) команды перехвата
исключения? Что-то типа команды из ODbg Script'a "eoe addr" - переход по исключению.
Программа стоит в дебаггере на инструкции непосредсвенно перед инструкцией
вызывающей исключение.

Добавлено спустя 18 часов 55 минут
-------------------------------------------
нашёл! конструкция try - catch


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 21 . 22 . >>
 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)

Видеокурс ВЗЛОМ