eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Mishar_Hacker
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Вопрос по exe (IDA Pro)
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Статус: Участник

Создано: 20 марта 2018 20:04 · Поправил: Shpunk New!
Цитата · Личное сообщение · #1

Установлена программа(требовала наличия .Net Framework).
Из нее выпало два exe (я хз чем они кроме размера отличаются). Ida Pro может открыть оба, но от этого не легче, т.к. выглядит нечитаемо. Картинка ---> https://ibb.co/kajDqH
Потыкал в настройки(manual load, proccessor type и пр), особых изменений не заметил.

Значит ли это, что файл защищен/упакован?

------трууунь разделительная линия----
Интереса ради попробовал открыть в OllyDbg. Один exe не открывается с ошибкой Unable to start.
Второй нормально открывается и выглядит хорошо (т.е. есть адреса, инструкции).




{ Атач доступен только для участников форума } - Ida_res - копия.jpg

Ранг: 140.7 (ветеран)
Статус: Участник

Создано: 20 марта 2018 20:20 New!
Цитата · Личное сообщение · #2

--> Link <--

| Сообщение посчитали полезным: Shpunk


Ранг: 28.0 (посетитель)
Статус: Участник

Создано: 1 марта 2019 05:33 · Поправил: morgot New!
Цитата · Личное сообщение · #3

Чтоб не плодить темы, спрошу здесь. Если писать в коде вида
Code:
  1. char test1[] = "abcd1234";

То строка находится, ясное дело, и Идой и хекс редактором, и чем угодно. Но если записать так:
Code:
  1. char test2[] = { 'a','b','c','d','1','2','3','4',0 };

То строка будет формироваться на стеке, т.е. в хекс редакторе ничего не видно, а в Иде это выглядит примерно так:
Code:
  1. mov     [ebp+test2], 61h
  2. mov     [ebp+test2+1], 62h
  3. mov     [ebp+test2+2], 63h
  4. mov     [ebp+test2+3], 64h
  5. mov     [ebp+test2+4], 31h
  6. mov     [ebp+test2+5], 32h
  7. mov     [ebp+test2+6], 33h
  8. mov     [ebp+test2+7], 34h
  9. mov     [ebp+test2+8], 0


Есть ли способ привести эти строки к читабельному виду? Может какие-то встроенные средства Иды или же скрипты на питоне?

Ранг: 126.1 (ветеран)
Статус: Участник

Создано: 1 марта 2019 05:39 New!
Цитата · Личное сообщение · #4

stackstrings отсюда https://github.com/fireeye/flare-ida

| Сообщение посчитали полезным: morgot


Ранг: 28.0 (посетитель)
Статус: Участник

Создано: 1 марта 2019 07:26 · Поправил: morgot New!
Цитата · Личное сообщение · #5

Alchemistry
спасибо, по описанию подходит. Но не получается поставить. Я делаю как в инструкции - обновил pip , ставлю этот vivisect. Качаю репозиторий, копирую 1 файл stackstrings_plugin.py в папку плагинов иды.
остальные скрипты сюда c:\Program Files\IDA 7.0\python\ (пробовал и в c:\Python27\Scripts\ , разницы никакой).
В консоле пишу
Python>import vivisect
Python>import stackstrings
вроде все норм, но при нажатии альт+0 неизменно такая картина.

Что я делаю не так?

---Updated
Сделал, была путаница с путями , в этом петоне все не как у людей. Все работает.
 eXeL@B —› Вопросы новичков —› Вопрос по exe (IDA Pro)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS