Русский / Russian English / Английский

Сейчас на форуме: gabryelle, old_blood (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Вопрос по exe (IDA Pro)
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Статус: Участник

Создано: 20 марта 2018 20:04 · Поправил: Shpunk New!
Цитата · Личное сообщение · #1

Установлена программа(требовала наличия .Net Framework).
Из нее выпало два exe (я хз чем они кроме размера отличаются). Ida Pro может открыть оба, но от этого не легче, т.к. выглядит нечитаемо. Картинка ---> https://ibb.co/kajDqH
Потыкал в настройки(manual load, proccessor type и пр), особых изменений не заметил.

Значит ли это, что файл защищен/упакован?

------трууунь разделительная линия----
Интереса ради попробовал открыть в OllyDbg. Один exe не открывается с ошибкой Unable to start.
Второй нормально открывается и выглядит хорошо (т.е. есть адреса, инструкции).




{ Атач доступен только для участников форума } - Ida_res - копия.jpg

Ранг: 148.0 (ветеран)
Статус: Участник

Создано: 20 марта 2018 20:20 New!
Цитата · Личное сообщение · #2

--> Link <--

| Сообщение посчитали полезным: Shpunk


Ранг: 45.7 (посетитель)
Статус: Участник

Создано: 1 марта 2019 05:33 · Поправил: morgot New!
Цитата · Личное сообщение · #3

Чтоб не плодить темы, спрошу здесь. Если писать в коде вида
Code:
  1. char test1[] = "abcd1234";

То строка находится, ясное дело, и Идой и хекс редактором, и чем угодно. Но если записать так:
Code:
  1. char test2[] = { 'a','b','c','d','1','2','3','4',0 };

То строка будет формироваться на стеке, т.е. в хекс редакторе ничего не видно, а в Иде это выглядит примерно так:
Code:
  1. mov     [ebp+test2], 61h
  2. mov     [ebp+test2+1], 62h
  3. mov     [ebp+test2+2], 63h
  4. mov     [ebp+test2+3], 64h
  5. mov     [ebp+test2+4], 31h
  6. mov     [ebp+test2+5], 32h
  7. mov     [ebp+test2+6], 33h
  8. mov     [ebp+test2+7], 34h
  9. mov     [ebp+test2+8], 0


Есть ли способ привести эти строки к читабельному виду? Может какие-то встроенные средства Иды или же скрипты на питоне?

Ранг: 137.8 (ветеран)
Статус: Участник

Создано: 1 марта 2019 05:39 New!
Цитата · Личное сообщение · #4

stackstrings отсюда https://github.com/fireeye/flare-ida

| Сообщение посчитали полезным: morgot


Ранг: 45.7 (посетитель)
Статус: Участник

Создано: 1 марта 2019 07:26 · Поправил: morgot New!
Цитата · Личное сообщение · #5

Alchemistry
спасибо, по описанию подходит. Но не получается поставить. Я делаю как в инструкции - обновил pip , ставлю этот vivisect. Качаю репозиторий, копирую 1 файл stackstrings_plugin.py в папку плагинов иды.
остальные скрипты сюда c:\Program Files\IDA 7.0\python\ (пробовал и в c:\Python27\Scripts\ , разницы никакой).
В консоле пишу
Python>import vivisect
Python>import stackstrings
вроде все норм, но при нажатии альт+0 неизменно такая картина.

Что я делаю не так?

---Updated
Сделал, была путаница с путями , в этом петоне все не как у людей. Все работает.

Ранг: 45.7 (посетитель)
Статус: Участник

Создано: 2 февраля 2020 21:25 New!
Цитата · Личное сообщение · #6

Не раз уже встречаю странные имена функций, вида unknown_libname_ХХ, что может значить такой код? Это студия какую-то служебную ерунду вставляет (типа stack cookies ) или , может, что-то важное?

Вызов
Code:
  1. unknown_libname_4(v25, (int)&v19, 16);


Тело
Code:
  1. // Microsoft VisualC universal runtime
  2. int __cdecl unknown_libname_4(int a1, int a2, int a3)
  3. {
  4.   char v4; // [esp+0h] [ebp-4h]
  5.  
  6.   if ( a3 != 10 || (v4 = 1, a1 >= 0) )
  7.     v4 = 0;
  8.   common_xtox<unsigned long,char>(a1, a2, -1, a3, v4);
  9.   return a2;
  10. }


Ранг: 1024.6 (!!!!)
Статус: Участник

Создано: 4 февраля 2020 00:52 · Поправил: reversecode New!
Цитата · Личное сообщение · #7

есть главная тема про использование иды
но вы почему то создаете новые топики

флирт определил что функция очень похожа на библиотечную
но название не понял
как правило все не большие функции, флирт ида определяет не верно
так что отмените определение
а что бы понять что она и зачем нужно смотреть весь контекст
а то и асм

Ранг: 45.7 (посетитель)
Статус: Участник

Создано: 4 февраля 2020 15:24 New!
Цитата · Личное сообщение · #8

reversecode пишет:
но вы почему то создаете новые топики

Ну там более серьезные вопросы обсуждаются, а я в Ида не шарю вообще, поэтому пишу в вопросах новичков. Но могу и там.

reversecode пишет:
так что отмените определение

Нажимаю Undefine, код превращается в какой-то набор опкодов по 1 в строке. Нажимаю опять Code - снова появляется определение функции..

reversecode пишет:
а что бы понять что она и зачем нужно смотреть весь контекст

А что может значить эта конструкция ?
Code:
  1. common_xtox<unsigned long,char>(a1, a2, -1, a3, v4);

В асм коде аналогично
call ??$common_xtox@KD@@YAHKQADII_N@Z ; common_xtox<ulong,char>(ulong,char * const,uint,uint,bool)


Ранг: 1024.6 (!!!!)
Статус: Участник

Создано: 5 февраля 2020 00:55 New!
Цитата · Личное сообщение · #9

там любые вопросы обсуждаются

определения удаляется удалением названия функции и удалением квалификатора что она библиотечная Alt+p в idaview
а не undef,def кода

гугл быстро находит что это за функции
остаеться только глазками убедится действительно ли это она
изучив контекст в котором вызывается и который она вызывает

по двум строчкам функции ни названия ни что делает функция никто не сможет определить на 100%

| Сообщение посчитали полезным: Scorpion13, morgot

 eXeL@B —› Вопросы новичков —› Вопрос по exe (IDA Pro)

Видеокурс ВЗЛОМ