Русский / Russian English / Английский

Сейчас на форуме: ak47ru, yashechka (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› DISJumping
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 13:03 New!
Цитата · Личное сообщение · #1

Не подскажете прогу (или idc) для приведения за-jmp-енного кода к читабельному виду?
Или инфу чтоб сделать анализатор...
работоспособнасть ненужна - главное чтоб изучать можно было без бессмысленных переходов
вручную собирать код уже достало




Ранг: 85.4 (постоянный)
Статус: Участник

Создано: 30 марта 2007 13:11 New!
Цитата · Личное сообщение · #2

Еслия все правильно понял, то помоему IDA здесь вне конкуренции..




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 13:30 New!
Цитата · Личное сообщение · #3

ну.. можешь слить поток инструкций файл и простейшим скриптом на перле (превет астег) или еще чем отсеять ненужные джампы..
а ида сбивается на большой вермишели :p




Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 30 марта 2007 13:36 New!
Цитата · Личное сообщение · #4

lord_Phoenix пишет:
а ида сбивается на большой вермишели :p

Её пропатчить можно, чтобы сообщений не выдавалось.




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 13:49 New!
Цитата · Личное сообщение · #5

HoBleen
причем десь сообщения? она просто не видит тру команды как надо



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 14:14 New!
Цитата · Личное сообщение · #6

то есть чтобы получить линейный листинг без мусорных переходов лучше писать idc
IDA приемлемо анализирует, но "как есть" код - туго читаемый
ручками "попрыгать" и собрать все в линию можно.
именно так с основным кодом я разобрался, но там еще достаточно такого мусора, меня уже достало "скакать" - голова кружится .

где можно посмотреть пример idc для такого дела? а то я анализаторов еще не писал никогда...
а вот если такую штуку написать, да сделать настраиваемой...




Ранг: 85.4 (постоянный)
Статус: Участник

Создано: 30 марта 2007 14:18 New!
Цитата · Личное сообщение · #7

Извиняюсь за глупый вопрос, но все этого когда то не знали А что такое idc?



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 14:19 New!
Цитата · Личное сообщение · #8

Кстати, iDA в виде блоков показывать отказывается в глухую
The graph is too big more than 1000 nodes...



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 14:29 New!
Цитата · Личное сообщение · #9

Icelot скрипт для иды




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 14:30 New!
Цитата · Личное сообщение · #10

AlCr0
idc.. ну сгенерь лог в ольке хотябы и пройдись..без иды.. или сам напиши..дасм+логгер и все




Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 30 марта 2007 14:55 New!
Цитата · Личное сообщение · #11

lord_Phoenix
Я вот про это говорил
AlCr0 пишет:
The graph is too big more than 1000 nodes...




Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 15:12 New!
Цитата · Личное сообщение · #12

lord_Phoenix пишет:
сгенерь лог в ольке

хм... лог помоему не намного читаемей будет
или в ольке можно задать условием что в лог не брать?

lord_Phoenix пишет:
и пройдись..

можно и Run Trace до условия ...
но чисто интуитивно предполагаю (прим. здесь - ж@пой чую :s6 что так еще больше работы будет

lord_Phoenix пишет:
или сам напиши..дасм+логгер и все

шутк такой?
идея, конечно, не плохая, и нечто подобное уже приходило мне в голову (брать переходы, проверять что перед ними и решать - сохранять в output или нет) ...
но если смотреть на вещи реально - ниасилить "дасм+логгер", уж звиняйте



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 15:15 New!
Цитата · Личное сообщение · #13

Она не сбивается на вермишели ... она просто в графах отображать отказывается
А сообщение можно не патчить - поставить галку "Don't display this message again"? только толку?




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 15:16 New!
Цитата · Личное сообщение · #14

[i]AlCr0 пишет:
идея, конечно, не плохая, и нечто подобное уже приходило мне в голову (брать переходы, проверять что перед ними и решать - сохранять в output или нет) ...
простая jmp вермишель разбирается легко



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 15:22 New!
Цитата · Личное сообщение · #15

lord_Phoenix пишет:
простая jmp вермишель разбирается легко

с этого момента, будьте добры, поподробнее




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 15:29 New!
Цитата · Личное сообщение · #16

AlCr0
хех.. для подробностей - покажи конкретный пример.. в общем там есть сложности ;)




Ранг: 990.2 (! ! !)
Статус: Модератор
Author of DiE

Создано: 30 марта 2007 15:41 New!
Цитата · Личное сообщение · #17

AlCr0

дизасм двигов полным-полно) тебе остатся напить анализатор
так что было бы желание...



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 15:45 New!
Цитата · Личное сообщение · #18

Hellspawn посоветуй како-нть, плз.



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 15:49 · Поправил: AlCr0 New!
Цитата · Личное сообщение · #19

lord_Phoenix пишет:
в общем там есть сложности ;)

блин, как чувствовал...
конкретный пример... это АПИ гварданта пятой версии
dll распаковывает часть себя, SAAT структуру, кусок защищенной проги и делает все это "вприпрыжку"
я хочу проанализировать распаковку и сделать распаковщик




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 15:51 New!
Цитата · Личное сообщение · #20

давай код :P у меня нету под рукой ничего с апи пятой версии



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 15:57 New!
Цитата · Личное сообщение · #21

Вот она...

{ Атач доступен только для участников форума } - novex32.dll.rar




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 16:05 New!
Цитата · Личное сообщение · #22

хм.. глянул экспорты.. хм.. jmp и push/ret.. все.. берешь дасм.. травишь на функу..если джамп(jmp, ну или push/ret), то дасмишь с destination'а(забыл как по русски сказать :D) и все в лог.. получаешь в логе чистый код =)




Ранг: 990.2 (! ! !)
Статус: Модератор
Author of DiE

Создано: 30 марта 2007 16:22 New!
Цитата · Личное сообщение · #23

lord_Phoenix пишет:
destination


назначение?

AlCr0 пишет:
посоветуй како-нть, плз.


CADT




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 16:29 New!
Цитата · Личное сообщение · #24

Hellspawn пишет:
назначение?

назначение не звучит, хз ) сказал, как сказал
Hellspawn пишет:
CADT

ага, с удобной структурой..дабы строки не парсить..
вообщем в данной вермишели сильно сложного ничего нет ;p



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 16:47 New!
Цитата · Личное сообщение · #25

Hellspawn пишет:
CADT

угу, спс. качнул с васма, буду смотреть

lord_Phoenix push/ret - эта фигня не сильно портит, часто не встречается, анализировать легко
там в том то и дело что jmp после каждой инструкции и по всему коду, а то и пачками
иногда они "родные", т.е. по структуре программы, надо как-то научить анализатор их различать
тс "отсеивать зерна от плевел"
спасиба!

ЗЫ не наблюдал, как скачет по телу этой фигни курсор анализатора у иды? с конца в конец...
может все-таки ее научить?

ЗЫЫ все правильно:
destination - это destination, а назначение - это назначение




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 16:57 · Поправил: lord_Phoenix New!
Цитата · Личное сообщение · #26

AlCr0
хм..вот некоторая трабла и есть в определении =(
вроде как вермишель вся из длинных джампов.. сталобыть короткие принадлежат проге.. этот минимум.. начинай писать анализатор =)



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 17:05 New!
Цитата · Личное сообщение · #27

lord_Phoenix
а ведь точно! вся вермишель из E9! коротких в вермишели нет
ладно там посмотрим. спс!




Ранг: 353.0 (мудрец)
Статус: Участник
resreveR

Создано: 30 марта 2007 17:20 New!
Цитата · Личное сообщение · #28

AlCr0
ждем анализатора ;)



Ранг: 18.4 (новичок)
Статус: Участник

Создано: 30 марта 2007 18:00 New!
Цитата · Личное сообщение · #29

lord_Phoenix Яволь! Завтра отпишусь что получилось...

ЗЫ Нарыл докучи туторов по написанию скриптов для иды. Что дельное выйдет - перенесу в нее.
В принципе ведь цель пока - получать корректный и читаемый листинг, а не работоспособный код.



Ранг: 352.4 (мудрец)
Статус: Участник
retired

Создано: 30 марта 2007 20:15 · Поправил: ssx New!
Цитата · Личное сообщение · #30

гуляет по рукам idc скрипт by Dim0n для разгребания jmp-вермишели

[ну и естественно не только он, и кроме него есть инструменты...]


. 1 . 2 . >>
 eXeL@B —› Софт, инструменты —› DISJumping
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ