Сейчас на форуме: tyns777, localhost1, vsv1, asfa (+6 невидимых)

 [email protected] —› Вопросы новичков —› Вопрос по exe (IDA Pro)
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 20 марта 2018 20:04 · Поправил: Shpunk
· Личное сообщение · #1

Установлена программа(требовала наличия .Net Framework).
Из нее выпало два exe (я хз чем они кроме размера отличаются). Ida Pro может открыть оба, но от этого не легче, т.к. выглядит нечитаемо. Картинка ---> https://ibb.co/kajDqH
Потыкал в настройки(manual load, proccessor type и пр), особых изменений не заметил.

Значит ли это, что файл защищен/упакован?

------трууунь разделительная линия----
Интереса ради попробовал открыть в OllyDbg. Один exe не открывается с ошибкой Unable to start.
Второй нормально открывается и выглядит хорошо (т.е. есть адреса, инструкции).




b55b_20.03.2018_EXELAB.rU.tgz - Ida_res - копия.jpg



Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

Создано: 20 марта 2018 20:20
· Личное сообщение · #2

--> Link <--

| Сообщение посчитали полезным: Shpunk


Ранг: 69.9 (постоянный), 83thx
Активность: 0.140.73
Статус: Участник

Создано: 01 марта 2019 05:33 · Поправил: morgot
· Личное сообщение · #3

Чтоб не плодить темы, спрошу здесь. Если писать в коде вида
Code:
  1. char test1[] = "abcd1234";

То строка находится, ясное дело, и Идой и хекс редактором, и чем угодно. Но если записать так:
Code:
  1. char test2[] = { 'a','b','c','d','1','2','3','4',0 };

То строка будет формироваться на стеке, т.е. в хекс редакторе ничего не видно, а в Иде это выглядит примерно так:
Code:
  1. mov     [ebp+test2], 61h
  2. mov     [ebp+test2+1], 62h
  3. mov     [ebp+test2+2], 63h
  4. mov     [ebp+test2+3], 64h
  5. mov     [ebp+test2+4], 31h
  6. mov     [ebp+test2+5], 32h
  7. mov     [ebp+test2+6], 33h
  8. mov     [ebp+test2+7], 34h
  9. mov     [ebp+test2+8], 0


Есть ли способ привести эти строки к читабельному виду? Может какие-то встроенные средства Иды или же скрипты на питоне?



Ранг: 145.8 (ветеран), 191thx
Активность: 0.140.36
Статус: Участник

Создано: 01 марта 2019 05:39
· Личное сообщение · #4

stackstrings отсюда https://github.com/fireeye/flare-ida

| Сообщение посчитали полезным: morgot


Ранг: 69.9 (постоянный), 83thx
Активность: 0.140.73
Статус: Участник

Создано: 01 марта 2019 07:26 · Поправил: morgot
· Личное сообщение · #5

Alchemistry
спасибо, по описанию подходит. Но не получается поставить. Я делаю как в инструкции - обновил pip , ставлю этот vivisect. Качаю репозиторий, копирую 1 файл stackstrings_plugin.py в папку плагинов иды.
остальные скрипты сюда c:\Program Files\IDA 7.0\python\ (пробовал и в c:\Python27\Scripts\ , разницы никакой).
В консоле пишу
Python>import vivisect
Python>import stackstrings
вроде все норм, но при нажатии альт+0 неизменно такая картина.

Что я делаю не так?

---Updated
Сделал, была путаница с путями , в этом петоне все не как у людей. Все работает.




Ранг: 69.9 (постоянный), 83thx
Активность: 0.140.73
Статус: Участник

Создано: 02 февраля 2020 21:25
· Личное сообщение · #6

Не раз уже встречаю странные имена функций, вида unknown_libname_ХХ, что может значить такой код? Это студия какую-то служебную ерунду вставляет (типа stack cookies ) или , может, что-то важное?

Вызов
Code:
  1. unknown_libname_4(v25, (int)&v19, 16);


Тело
Code:
  1. // Microsoft VisualC universal runtime
  2. int __cdecl unknown_libname_4(int a1, int a2, int a3)
  3. {
  4.   char v4; // [esp+0h] [ebp-4h]
  5.  
  6.   if ( a3 != 10 || (v4 = 1, a1 >= 0) )
  7.     v4 = 0;
  8.   common_xtox<unsigned long,char>(a1, a2, -1, a3, v4);
  9.   return a2;
  10. }





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 04 февраля 2020 00:52 · Поправил: reversecode
· Личное сообщение · #7

есть главная тема про использование иды
но вы почему то создаете новые топики

флирт определил что функция очень похожа на библиотечную
но название не понял
как правило все не большие функции, флирт ида определяет не верно
так что отмените определение
а что бы понять что она и зачем нужно смотреть весь контекст
а то и асм




Ранг: 69.9 (постоянный), 83thx
Активность: 0.140.73
Статус: Участник

Создано: 04 февраля 2020 15:24
· Личное сообщение · #8

reversecode пишет:
но вы почему то создаете новые топики

Ну там более серьезные вопросы обсуждаются, а я в Ида не шарю вообще, поэтому пишу в вопросах новичков. Но могу и там.

reversecode пишет:
так что отмените определение

Нажимаю Undefine, код превращается в какой-то набор опкодов по 1 в строке. Нажимаю опять Code - снова появляется определение функции..

reversecode пишет:
а что бы понять что она и зачем нужно смотреть весь контекст

А что может значить эта конструкция ?
Code:
  1. common_xtox<unsigned long,char>(a1, a2, -1, a3, v4);

В асм коде аналогично
call ??$[email protected]@@[email protected] ; common_xtox<ulong,char>(ulong,char * const,uint,uint,bool)




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 февраля 2020 00:55
· Личное сообщение · #9

там любые вопросы обсуждаются

определения удаляется удалением названия функции и удалением квалификатора что она библиотечная Alt+p в idaview
а не undef,def кода

гугл быстро находит что это за функции
остаеться только глазками убедится действительно ли это она
изучив контекст в котором вызывается и который она вызывает

по двум строчкам функции ни названия ни что делает функция никто не сможет определить на 100%

| Сообщение посчитали полезным: Scorpion13, morgot
 [email protected] —› Вопросы новичков —› Вопрос по exe (IDA Pro)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати