Русский / Russian English / Английский

Сейчас на форуме: Beauty2017 (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 18 . 19 . >>
Посл.ответ Сообщение


Ранг: 2011.1 (!!!!)
Статус: Модератор
retired

Создано: 27 марта 2017 11:54 New!
Цитата · Личное сообщение · #1

Обмен опытом использования и настройки интерактивного дизассемблера и отладчика IDA Pro.
Прошлый топик Использование IDA Pro

| Сообщение посчитали полезным: oxfemale, gent0o0


Ранг: 33.8 (посетитель)
Статус: Участник

Создано: 2 марта 2018 08:27 New!
Цитата · Личное сообщение · #2

TOM_RUS пишет:
IDA 7.1 SDK нада?

а hexrays_sdk есть?

Ранг: 11.9 (новичок)
Статус: Участник

Создано: 5 марта 2018 20:47 New!
Цитата · Личное сообщение · #3

awlost пишет:
а hexrays_sdk есть?

Если бы он у меня был, выложил бы. Тот, у кого есть, делиться по непонятным причинам не хочет.


Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 6 марта 2018 00:02 New!
Цитата · Личное сообщение · #4

TOM_RUS пишет:
Тот, у кого есть, делиться по непонятным причинам не хочет.


причин много и все они понятны.

Ранг: 11.9 (новичок)
Статус: Участник

Создано: 6 марта 2018 01:04 · Поправил: TOM_RUS New!
Цитата · Личное сообщение · #5

Ну вот оно собственно hexrays_sdk 7.1

| Сообщение посчитали полезным: plutos


Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 6 марта 2018 12:15 · Поправил: DrVB_5_6 New!
Цитата · Личное сообщение · #6

Не совсем в тему, но ...
свершится чудо:
"Автор дизассемблера IDA Pro выступит на PHDays 8
Подробнее: https://www.securitylab.ru/phdays/491898.php"

из анонса:
"Ключевым докладчиком PHDays 8 станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов."


Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 7 марта 2018 03:46 New!
Цитата · Личное сообщение · #7

DrVB_5_6 пишет:
Автор дизассемблера IDA Pro выступит на PHDays 8Подробнее: https://www.securitylab.ru/phdays/491898.php


Для того, чтобы вживую послушать его выступление, необходимо [Регистрируйтесь]зарегистрироваться и посетить на Positive Hack Days.



Интересно, кто-нибудь зарегистрировался? И будет ли выступление опубликовано и если будет то где?

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 7 марта 2018 08:54 · Поправил: DrVB_5_6 New!
Цитата · Личное сообщение · #8

plutos пишет:
Интересно, кто-нибудь зарегистрировался? И будет ли выступление опубликовано и если будет то где?

А в чем проблема-то? Денежку только отстегнуть. Фирма оплатит, надеюсь, раньше проблем не было.
До сей поры со всех PHDays даже видео докладов было, не только слайды или статьи.
А так, особо ничего нового он скорей всего не расскажет. Уже в декабре рассказывал.
Теперь вот в Монреале ещё собирался повторить (не помню только до PHDays или после, а искать нет желания).

Ранг: 80.5 (постоянный)
Статус: Участник

Создано: 14 марта 2018 23:27 New!
Цитата · Личное сообщение · #9

Прошивка мк MFRC531, пробую в ида загружать, но видит как бинарник и не дизасмит. Среди списка процев такого нету. Подскажите как подобное дизасмить в ида.


Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 15 марта 2018 00:50 New!
Цитата · Личное сообщение · #10

mazaxaker пишет:
Среди списка процев такого нету


как вариант (не самый простой и легкий): написать свой processor module.

Ранг: 80.5 (постоянный)
Статус: Участник

Создано: 15 марта 2018 01:32 New!
Цитата · Личное сообщение · #11

plutos, а как узнать хотя бы заголовок байтов прошивки под этот девайс, просто подозрение что она зашифрована, с ней в комплекте прога для прошивания по юсб в устройство.

Ранг: 152.2 (ветеран)
Статус: Участник

Создано: 15 марта 2018 02:31 New!
Цитата · Личное сообщение · #12

mazaxaker
Посмотреть на хекс дамп. Если пошифрована, то будет выглядеть как рандомные данные, иначе будет прослеживаться структура (те же векторы прерываний, например).


Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 17 марта 2018 01:38 · Поправил: plutos New!
Цитата · Личное сообщение · #13

вопрос к знатокам ИДЫ.

Как именно ИДА находит в числе других processor modules, в %IDADIR%\procs, именно тот, который ей в данном случае нужен. Какой тут используется алгоритм?

И еще один: откуда вызывается PROCESSOR_ENTRY function?

Заранее спасибо!


Ранг: 522.4 (!)
Статус: Участник
Победитель турнира 2010

Создано: 17 марта 2018 12:24 New!
Цитата · Личное сообщение · #14

plutos пишет:
Как именно ИДА находит в числе других processor modules, в %IDADIR%\procs, именно тот, который ей в данном случае нужен.

Используется информация либо из ключей командной строки -p####, а если не задано то согласно таблице из .\cfg\ida.cfg с привязкой к расширению загружаемого бинаря
// Default processor configuration table
// -------------------------------------
//
// The default processor will be used if the processor type is
// not specified in the command line.
// Feel free to customize this table.
//
DEFAULT_PROCESSOR = {
/* Extension Processor */
"com" : "" // IDA will try the specified
"exe" : "" // extensions if no extension is
"dll" : "" // given.
"drv" : ""
"sys" : ""
"bin" : "" // Empty processor means the default processor
"ovl" : ""
"ovr" : ""
"ov?" : ""
"nlm" : ""
"lan" : ""
"dsk" : ""
"obj" : ""
"prc" : "68000" // PalmPilot programs
"axf" : "arm"
"h68" : "68000" // MC68000 for *.H68 files
"i51" : "8051" // i8051 for *.I51 files
"sav" : "pdp11" // PDP-11 for *.SAV files
"rom" : "z80" // Z80 for *.ROM files
"cla*": "java"
"s19": "6811"
"epoc": "arm"
"o": ""
"*": "" // Default processor
}

| Сообщение посчитали полезным: plutos


Ранг: 80.5 (постоянный)
Статус: Участник

Создано: 23 марта 2018 21:49 New!
Цитата · Личное сообщение · #15

Ребята, подскажите, вот есть длл с экспорт методами, мне нужно отладить пару ее методов. Я хочу сделать дамп памяти длл, в моменты входа в эти методы и потом продолжить отладку с этого места, подгрузив этот дамп памяти и состояние регистров также.
Ида умеет делать дампы памяти, но не понятно как их потом подгружать и продолжить отладку с того места. Можно ли как-то это в ида сделать или в какой лучше проге ?

Ранг: 152.2 (ветеран)
Статус: Участник

Создано: 23 марта 2018 22:19 New!
Цитата · Личное сообщение · #16

mazaxaker
Допустим, в IDA(1) у нас загружена и разобрана dll. В IDA(2) загружаем exe, который использует dll, в свойствах отладчика ставим "Break on library load" и запускаем отладку. Смотрим в окно Modules и жмем F9 пока там не появится наша dll. Как появилась, выбираем в контекстном меню "Jump to module base". В IDA(1) делаем "Edit/Segment/Rebase" на тот адрес, по которому dll загружена в IDA(2) и затем экспортируем базу в idc-файл (File/Produce file/Dump database to idc...). В idc-файле удаляем строку "delete_all_segments()" и загружаем этот idc в IDA(2). Все, можно убирать "Break on library load", переходить к нужным функциям dll по ctrl+p, расставлять бряки и запускать exe на выполнение.

| Сообщение посчитали полезным: mazaxaker, topmo3



Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 4 апреля 2018 12:36 · Поправил: DenCoder New!
Цитата · Личное сообщение · #17

IDA Pro 6.8

Странная штука с ИдаПитоном во время отладки. Такая проблема: ставим брейкпоинт на WndMsgHandler, в conditions вписываем скрипт на питоне
Code:
  1. print("=========================")
  2. wParam = idc.GetRegValue("edi")
  3. ebp = idc.GetRegValue("ebp")
  4. msg = Dword(ebp + 0xc)
  5. lParam = Dword(ebp + 0x10)
  6. print("ebp: %x\nmsg: %x\nwParam: %x\nlParam: %x" %(ebp, msg, wParam, lParam))
  7. print("=========================")


Какое бы ни было сообщение, отображается
Code:
  1. =========================
  2. ebp: 12aa8c
  3. msg: ffffffff
  4. wParam: 28b118c
  5. lParam: ffffffff
  6. =========================


Правде соответсвуют только значения ebp и wParam. Аргументы из стека почему-то не читаются правильно. Если же брякнуться на входе в хэндлер и выполнить каждую строчку и командной строки, то аргументы читаются верно. Никто не сталкивался с таким?

Добавлено спустя 10 минут
На idc-скрипте то же самое

Добавлено спустя 30 минут
Ошибка найдена:
Code:
  1. print("=========================")
  2. wParam = idc.GetRegValue("edi")
  3. ebp = idc.GetRegValue("ebp")
  4. msg = idc.Dword(ebp + 0xc)
  5. lParam = idc.Dword(ebp + 0x10)
  6. print("ebp: %x\nmsg: %x\nwParam: %x\nlParam: %x" %(ebp, msg, wParam, lParam))
  7. print("=========================")


Как-то странно работает ИдаПитон - как будто не инициализирован до конца от момента запуска процесса. И чтобы скрипт работал правильно, обязательно надо перед этим хотя бы один раз брякнуться в коде самой программы...

=========================
Этот глюк исправляется установкой галочки на Refresh debugger memory

Ранг: 1.0 (гость)
Статус: Участник

Создано: 21 мая 2018 00:41 New!
Цитата · Личное сообщение · #18

DrVB_5_6 пишет:
Не совсем в тему, но ...
свершится чудо:
"Автор дизассемблера IDA Pro выступит на PHDays 8
Подробнее: https://www.securitylab.ru/phdays/491898.php"
из анонса:
"Ключевым докладчиком PHDays 8 станет известный разработчик дизассемблера IDA Pro и декомпилятора Hex-Rays Ильфак Гильфанов."


Что можно полезного рассказать за 1 час выступления того, чего нельзя просто прочитать в статье о том же, взгляде назад, на историю, как это начиналось, что сделано и что будет.
Из тех кто уже использовал 7.0 он действительно сырой и стоит подождать?


Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 21 мая 2018 01:31 New!
Цитата · Личное сообщение · #19

iTuneDVR пишет:
и стоит подождать?


да чего ждать-то? Ждать когда сделают ИДЕАЛьНУЮ ИДУ?
Многим когда-то и dos'овского DEBUG'a в консоли хватало.

Ранг: 80.5 (постоянный)
Статус: Участник

Создано: 11 июня 2018 16:24 New!
Цитата · Личное сообщение · #20

Ребята, а в ида из дампа можно сразу в бинарном виде байты эти сохранить, дергаю из дампа загруженный текстовой файл, написал прогу, чтобы эти байты сразу в бинарном виде, а не текстовом сохранять, вот интересуюсь, нет ли в самой ида такой возможности ?


Ранг: 556.3 (!)
Статус: Участник
оптимист

Создано: 12 июня 2018 00:07 New!
Цитата · Личное сообщение · #21

mazaxaker
Ctr+C

Ранг: 411.7 (мудрец)
Статус: Участник

Создано: 12 июня 2018 00:37 · Поправил: dosprog New!
Цитата · Личное сообщение · #22

plutos пишет:
Многим когда-то и dos'овского DEBUG'a в консоли хватало.

Для б.м. практических вещей использовался AFD (1985),
некоторые использовали Soft-ICE для DOS (1992) - то была вообще круть - умел переносить "тёплую" перезагрузку.
Чуть позже появился Insight, очень удобная Вещь, Deglucker тоже, но то уже для 386+.
Так что DEBUG.EXE всерьёз не использовался -
для него изощрялись со всякими скриптами-патчами COM-файлов, не более.
То несерьёзная тулза была, абы для отмазки, мол, вон у нас в DOS'е даже отладчик "стандартный" имеется.
Он и не развивался вообще, со времён DOS v.5. и до DOS v.8 включительно. MS забила на него член.
И ещё этот, TurboDebugger - удивительно бесполезная была штука, при всей навороченности.
Оба вовсю использовали стек отлаживаемой программы, что чаще всего приводило к её дисфанкшену..

--Добавлено--
plutos пишет:
Вообще-то про DEBUG я так, в шутку, сказал, первое, что пришло в голову .


) Ну, Ок.



Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 12 июня 2018 01:17 New!
Цитата · Личное сообщение · #23

dosprog пишет:
И ещё этот, TurboDebugger - удивительно бесполезная была штука


ну спасибо что разьяснил, а то я так и пребывал во мраке!
Вообще-то про DEBUG я так, в шутку, сказал, первое, что пришло в голову .
Так что не будем начинать holy war по поводу достоинств и недостатков каких-то мертвых инструментов: и не место и не время, да и ни к чему все это.


Ранг: 1030.5 (!!!!)
Статус: Участник

Создано: 12 июня 2018 08:41 New!
Цитата · Личное сообщение · #24

mazaxaker
Menu-Edit-Export Data (Shift+E)
там можно в любом виде хекс бинари текст итд
если у вас такого пункта меню нет, значит вам не повезло

| Сообщение посчитали полезным: mazaxaker



Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 14 июня 2018 02:06 · Поправил: plutos New!
Цитата · Личное сообщение · #25

Кто-нибудь использовал программу CodeSurfer? (https://www.grammatech.com/products/codesurfer)
Если да, то какие впечатления?
Спрашиваю в этой теме потому, что один человек доказывал мне, что по сравнению с этим CodeSurfer, IDA просто нервно курит в сторонке, но ссылками на источник свои слова не подкрепил.
Я не очень поверил, потому хочу для самоуспокоения узнать мнение общественности.

Ранг: 23.9 (новичок)
Статус: Участник

Создано: 14 июня 2018 07:04 New!
Цитата · Личное сообщение · #26

plutos пишет:
но адреса ссылки на источник почему-то не оставил...


Видимо это https://www.grammatech.com/products/codesurfer


Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 14 июня 2018 08:29 New!
Цитата · Личное сообщение · #27

jinoweb пишет:
Видимо это https://www.grammatech.com/products/codesurfer


Да, это-то это, но имелась ввиду ссылка на доказательство преимущества CodeSurfer'a над IDA'oй, а не адрес оффсайта.
Прошу прощения, если плохо свормулировал вопрос. Поправлю.


Ранг: 667.3 (! !)
Статус: Участник
CyberMonk

Создано: 14 июня 2018 17:17 New!
Цитата · Личное сообщение · #28

Software Inspection Using CodeSurfer - PDF --> Link <--

| Сообщение посчитали полезным: plutos


Ранг: 0.0 (гость)
Статус: Участник

Создано: 15 июня 2018 00:20 New!
Цитата · Личное сообщение · #29

plutos пишет: Да, это-то это, но имелась ввиду ссылка на доказательство преимущества CodeSurfer'a над IDA'oй, а не адрес оффсайта.

Преимущество в навигации и в работе с графами, эта часть в IDA выполнена не очень, сказывается возраст проекта, по остальным параметрам IDA нет равных на данный момент, опять же, сказывается возраст проекта, по крайне мере на паблике ничего превосходящего IDA не встречал, именно функционала который непосредственно относится к RE. Дубовые графы IDA частично исправляют плагины, навигацию можно сделать на коленке.

| Сообщение посчитали полезным: plutos



Ранг: 582.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 15 июня 2018 00:36 New!
Цитата · Личное сообщение · #30

shellstorm пишет:
Преимущество в навигации и в работе с графами


если имеешь, может поделишься?

Ранг: 0.0 (гость)
Статус: Участник

Создано: 19 июня 2018 02:23 New!
Цитата · Личное сообщение · #31

plutos пишет: если имеешь, может поделишься?

у меня нет, игрался у одного коллеги, сам не пользуюсь инструментами которые не купил бы сам или не смог убедить начальство купить, приватным софтом которые время от времени подкидывают тоже не пользуюсь, только для тестов. на работе не скажешь у меня нет этого, вот этого, а без этого не умею ничего, купите мне весь мир, нужно пользоваться доступным и тем, что начальство точно купит или сам готов купить, именно на этот софт я и 50$ не стал бы тратить. именно для навигации полного бесплатного софта. какая то из версий раньше валялась на варёзниках, возможно найдётся в поисковике.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 18 . 19 . >>
 eXeL@B —› Основной форум —› Использование IDA Pro (part 2)

Видеокурс ВЗЛОМ