Форум программистов, компьютерный форум, киберфорум
Наши страницы
Низкоуровневое программирование
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.59/17: Рейтинг темы: голосов - 17, средняя оценка - 4.59
Cdelphi78
135 / 69 / 17
Регистрация: 21.02.2014
Сообщений: 2,873
1

Поиск в Ida Pro

21.10.2014, 15:12. Просмотров 3383. Ответов 17
Метки нет (Все метки)

Добрый день! Извиняюсь если такой вопрос уже был но как в Ida Pro выполнить поиск по radiobutton?
Допустим есть radiobutton и вывод на экран того что он делает нужно найти все строчки кода к нему относящемуся..
0
Миниатюры
Поиск в Ida Pro  
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
21.10.2014, 15:12
Ответы с готовыми решениями:

Ida pro
таварищи подскажите де добыть сей софт(ida pro) с кряком google шо-то не помог

Скрипты в IDA Pro Advanced.v6.1
Тринируюсь писать скрипты, вчера уже написал один рабочий. Хочу удлинить прогу, и в заданое...

IDA PRO загрузить файл
Здравствуйте уважаемые специалисты. В часто задаваемых вопросах по IDA PRO мало внимание уделено...

Ассемблерный код вируса (IDA Pro)
Здравствуйте. Помогите пожалуйста разобраться с ассемблерным кодом. До этого никогда не учил, а...

Каков результат дизассемблирования и ассемблирования в IDA Pro?
Здравствуй уважаемый Mighty All! Вопрос простой: Если взять какую-нибудь программу без...

17
Cdelphi78
135 / 69 / 17
Регистрация: 21.02.2014
Сообщений: 2,873
21.10.2014, 16:13  [ТС] 2
хорошо допустим я нашел hex значение как в читаемый код то перевести
0
Charles Kludge
Клюг
7647 / 3162 / 383
Регистрация: 03.05.2011
Сообщений: 8,382
21.10.2014, 16:43 3
Возьмите exescope и картинка прояснится. В утиле OpenWatcom есть wspy - тоже иногда помогает.
1
Cdelphi78
135 / 69 / 17
Регистрация: 21.02.2014
Сообщений: 2,873
22.10.2014, 09:22  [ТС] 4
Спасибо, попробую, все же лучше чем не чего.
0
22.10.2014, 09:22
Убежденный
Ушел с форума
Эксперт С++
16147 / 7294 / 1182
Регистрация: 02.05.2013
Сообщений: 11,637
Записей в блоге: 1
Завершенные тесты: 1
22.10.2014, 14:14 5
Я бы пошел таким путем: сначала Spy++ и находим оконную процедуру.
Далее цепляемся отладчиком к процессу и ставим брейкпоинт на нее.
Ну а дальше можно посчитать, к примеру, смещение от image base и
далее в IDA Pro ориентироваться по нему.
1
gazlan
3162 / 1921 / 312
Регистрация: 27.08.2010
Сообщений: 5,131
Записей в блоге: 1
22.10.2014, 16:53 6
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
в Ida Pro
Неподходящий инструмент для поиска, лучший вариант - Hiew. Достаточно Demo версии.

поиск по radiobutton
У "radiobutton" есть идентификатор ресурса - ResID. Нужно его выяснить (в ExeScope, например).

В зависимости от его размера (обычно, byte или dword), искать один из следующих опкодов (6Axx или 68xxxxxxxx, где взамен xxx подставлен ResID с учетом порядка байт):
Код
6A         PUSH imm8     2        Push immediate byte
68         PUSH imm16    2        Push immediate word
68         PUSH imm32    2        Push immediate dword
Таких мест не должно быть много, а вот уже код по найденным смещениям удобно смотреть в IDA.

Как вариант, для быстрого поиска нужного опкода можно использовать SSF - Stupid Signature Finder.
1
Cdelphi78
135 / 69 / 17
Регистрация: 21.02.2014
Сообщений: 2,873
23.10.2014, 09:06  [ТС] 7
Цитата Сообщение от Убежденный Посмотреть сообщение
Я бы пошел таким путем: сначала Spy++ и находим оконную процедуру.
Далее цепляемся отладчиком к процессу и ставим брейкпоинт на нее.
Ну а дальше можно посчитать, к примеру, смещение от image base и
далее в IDA Pro ориентироваться по нему.
Пока что не обладаю нужными знаниями по этому методу.
Цитата Сообщение от gazlan Посмотреть сообщение
Неподходящий инструмент для поиска, лучший вариант - Hiew. Достаточно Demo версии.
Использовал, открыл искал юникод но дальше не продвинулось
Цитата Сообщение от gazlan Посмотреть сообщение
У "radiobutton" есть идентификатор ресурса - ResID. Нужно его выяснить (в ExeScope, например).
В зависимости от его размера (обычно, byte или dword), искать один из следующих опкодов (6Axx или 68xxxxxxxx, где взамен xxx подставлен ResID с учетом порядка байт):
Вот это интересно, но тоже темный лес пока,попробую почитать что нибуть
0
Charles Kludge
Клюг
7647 / 3162 / 383
Регистрация: 03.05.2011
Сообщений: 8,382
23.10.2014, 13:36 8
Кстати, если прога писана на дельфи, то уместен будет DeDe.3.50.04.1635.
0
gazlan
3162 / 1921 / 312
Регистрация: 27.08.2010
Сообщений: 5,131
Записей в блоге: 1
23.10.2014, 13:54 9
Цитата Сообщение от Charles Kludge Посмотреть сообщение
DeDe
Тогда уж, IDR 2.5.3 :-)
1
Миниатюры
Поиск в Ida Pro  
Cdelphi78
135 / 69 / 17
Регистрация: 21.02.2014
Сообщений: 2,873
24.10.2014, 14:22  [ТС] 10
Цитата Сообщение от Charles Kludge Посмотреть сообщение
Кстати, если прога писана на дельфи, то уместен будет DeDe.3.50.04.1635.
Нет я думаю Си, вообще может можно как нибудь сразу в Си отконвертить чтоб без ассемблера
0
Charles Kludge
Клюг
7647 / 3162 / 383
Регистрация: 03.05.2011
Сообщений: 8,382
24.10.2014, 14:51 11
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
можно как нибудь сразу в Си
Дык, через hexrays в IDA, совсем влобовую не получится.
0
ValeryS
Модератор
7523 / 5700 / 736
Регистрация: 14.02.2011
Сообщений: 19,505
Завершенные тесты: 1
24.10.2014, 15:02 12
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
уже был но как в Ida Pro выполнить поиск по radiobutton?
никак, в смысле вот так вот, написал радиобутон и нашел
для начала нужно узнать кем откомпилирован файл
обычно ида знает основные компиляторы и подключает нужные файлы
а дальше
хватаем класс окна как подсаказалУбежденный, или если это часть ресурсов то смотрим ID(например PeExplorer) потом вылавливаем все Create это если создан программно или ищем ID если это ресурсы
если компилировалось MFC то можно отыскать класс CButton
в общем работа муторная и нудная
дизасемблирование, вообще не простая вещь
попробуй сначала с консольными программами, написал скомпилировал дизасемблировал
иногда проше свою прогу написать чем править чужую
0
gazlan
3162 / 1921 / 312
Регистрация: 27.08.2010
Сообщений: 5,131
Записей в блоге: 1
24.10.2014, 15:03 13
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
думаю, Си
А возьмите эташ (10.7z) из этой темы Как определить каким методом зашифрована БД SQLite и открыть ее впоследствии и прикрепите к посту начало вашего файла - будет понятнее, что за компилятор.
0
ValeryS
Модератор
7523 / 5700 / 736
Регистрация: 14.02.2011
Сообщений: 19,505
Завершенные тесты: 1
24.10.2014, 15:05 14
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
вообще может можно как нибудь сразу в Си отконвертить чтоб без ассемблера
нельзя
компиляция необратимый процесс
есть прилуда к Иде которая делает Сиподобные файлы
Цитата Сообщение от Charles Kludge Посмотреть сообщение
Дык, через hexrays в IDA,
но уж лучше бы не делала в том коде разобраться хуже чем в ассемблерном
1
gazlan
3162 / 1921 / 312
Регистрация: 27.08.2010
Сообщений: 5,131
Записей в блоге: 1
24.10.2014, 16:18 15
Есть еще:

Boomerang

This project is an attempt to develop a real decompiler for machine code programs through the open source community. A decompiler takes as input an executable file, and attempts to create a high level, compilable, possibly even maintainable source file that does the same thing. It is therefore the opposite of a compiler, which takes a source file and makes an executable. However, a general decompiler does not attempt to reverse every action of the decompiler, rather it transforms the input program repeatedly until the result is high level source code. It therefore won't recreate the original source file; probably nothing like it. It does not matter if the executable file has symbols or not, or was compiled from any particular language. (However, declarative languages like ML are not considered.)
C4Decompiler

C4Decompiler is a general, interactive Machine Decompiler for Intel IA Processors (x86 based). It accepts obj and exe files as input, performs a static analysis and generates C source code as output.
PE-bear

PE-bear is a new reversing tool for PE files.
...
Objective: to deliver fast and flexible “first view” tool for malware analysts. Stable and capable to handle malformed PE files.
DCC Decompiler, The dcc Decompiler

The dcc decompiler decompiles .exe files from the (i386, DOS) platform to C programs. The final C program contains assembler code for any subroutines that are not possible to be decompiled at a higher level than assembler.

The analysis performed by dcc is based on traditional compiler optimization techniques and graph theory. The former is capable of eliminating registers and intermediate instructions to reconstruct high-level statements; the later is capable of determining the control structures in each subroutine.
ExeToC Decompiler

Decompile win32 program and DLL to C++ step by step. Allow some interactive.

Main functions already work:

*support if/else/for/do/while/break/switch case/continue
*support API
*support C++ head file load
*support standard library function recognize
REC Studio

REC Studio is an interactive decompiler.

It reads a Windows, Linux, Mac OS X or raw executable file, and attempts to produce a C-like representation of the code and data used to build the executable file.
It has been designed to read files produced for many different targets, and it has been compiled on several host systems.
SmartDec

SmartDec is a native code to C/C++ decompiler. It is currently in its beta stage. However, most of the functionality is already in place and can be used. If you are interested in checking out the beta version, visit the downloads page.
3
Cdelphi78
135 / 69 / 17
Регистрация: 21.02.2014
Сообщений: 2,873
24.10.2014, 16:39  [ТС] 16
Цитата Сообщение от gazlan Посмотреть сообщение
Есть еще:
Ха Ха)) тут работы на пол года вперед), кстати утилитки какие вы мне дали как они вообще работают я запускаю их и они закрываются. Ладно пока решил проблему другим способом, отложу изучение дизасемблирование до лучших времен
0
gazlan
3162 / 1921 / 312
Регистрация: 27.08.2010
Сообщений: 5,131
Записей в блоге: 1
24.10.2014, 17:35 17
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
запускаю их и они закрываются
Использовать в консоли (из командной строки).
0
Миниатюры
Поиск в Ida Pro  
ValeryS
Модератор
7523 / 5700 / 736
Регистрация: 14.02.2011
Сообщений: 19,505
Завершенные тесты: 1
24.10.2014, 18:08 18
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
тут работы на пол года вперед),
оптимист
Годы
и то никогда не сможешь сказать знаю все
0
24.10.2014, 18:08
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
24.10.2014, 18:08

Где можно скачать рабочую версию IDA PRO?
Где можно скачать рабочую версию IDA PRO? Или другого хорошего отладчика Помогите пожалуйста!...

Задача сохранить в IDA Pro Advanced.v6.1 сложившиеся изминения
Доброго дня! Задача сохранить в IDA Pro Advanced.v6.1 сложившиеся изминения? Думаю для этой...

Где можно скачать рабочую версию IDA PRO?
Где можно скачать рабочую версию IDA PRO? Или другого хорошего отладчика Помогите пожалуйста!...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru