Волчьи IT-мысли » ida

IDA Pro 5.7

SWW — Sat, 03 Jul 2010 06:56:58 +0000

Вышла новая IDA Pro 5.7. Я сам еще не видел и не щупал. Про новые фичи можно прочесть тут.

Hex-Rays plugin contest

SWW — Sat, 21 Nov 2009 11:01:01 +0000

We are happy to announce the results of our first Hex-Rays plugin contest! The submitted files are very interesting. We are sure that you too will find them useful and increasing your productivity.

While we had no difficulties determining the first winner, the second place was not that obvious, both candidates were very good. In the end we did choose, but decided that the third place deserves the prize as well. In fact, we feel that all submissions are good and deserve a prize, but the number of winning places is always limited. Probably we will be better prepared for the next time.

Все плагины доступны для загрузки, предлагаю внимательно на них посмотреть. Мне понравился IDAStealth. А в общем все полезные. А что полезного для вас в них?

IDA Pro 5.5 и Hex-Rays 1.1

SWW — Tue, 16 Jun 2009 07:56:15 +0000

Зарелизились, наконец-то.

Что полезного лично для меня:

Новый интерфейс
Возможность загружать краш-дампы памяти (IDA хочет вынести WinDbg с рынка? :)
Наконец-то сделали возможность загружать PDB файлы вручную и загружать типы из них (слава яйцам)

Конечно, много чего еще сделано и исправлено.

Также выпустили новый Hex-Rays 1.1 с поддержкой декомпиляции команд с плавающией точкой.

P.S. Еще не щупал, но как дойдет до меня и как дойдут руки, опишу свои впечатления.

IDA Pro 5.4 Demo

SWW — Sat, 18 Apr 2009 10:38:37 +0000

Для тех, кто еще не купил, но уже думает доступна демо-версия IDA Pro 5.4. В нее включен Bosch дебаггер, правда с ограничением по количеству выполняемых команд.

IDA vs Windbg

SWW — Sun, 08 Mar 2009 10:41:13 +0000

Относительно недавно вышла новая IDA v5.4. В ней были заявлены возможности удаленной отладки, используя Windbg. Конечно, в IDA появились и другие интересные вещи. Среди них я бы выделил те самые три отладчика: Bosch, GDB, Windbg; возможность писать на Python (видимо для гиков и «аверов», которые строят на этом системы анализа); и, задерживаем дыхание, возможность получить имена локальных переменных и типы из формата .PDB. Последнее означает то, что теперь можно загрузить наконец-то ntoskrnl.exe в IDA и все недокументированные структуры будут как на ладони (это ж надо дойти до этого только к версии 5.4).

Картинка ниже показывает недокументированную структуру _KTHREAD файла ядра.

Возможности загрузить структуры в другой анализируемый файл — нет. Пользуемся старым способом: добавляем нужные нам структуры и экспортируем их в виде .IDC файла, который потом подгружаем в анализируемый сэмпл. Неудобно добавлять каждую структуру по отдельности, также неудобно то, что нет возможности сразу подгрузить все структуры из .PDB в анализируемый файл.

Первым делом, я взялся смотреть отладчик, так как он мне интереснее всего. Скачиваем по ссылке статью, в которой описываются настройки IDA для удаленной отладки с помощью Windbg. Прежде всего, я советую обратить внимание на следующие моменты:

Конфигурация источника символов. Не забываем прописать путь в переменные окружения или перед запуском IDA выполняем команду set.
Выбираем Debugger->Attach, а не Debugger->Run.
Не забываем поставить галочку Kernel mode debugging.

Сразу после подключения мы получаем полноценный отладчик, который умеет выполнять команды Windbg в отдельном окошке. Нам доступны все расширения (смотри .chain и .load). Не забывайте нажимать C для преобразования в код. В отладчике также работает Hex-Rays (для этого надо создать функцию, нажмите P, а потом F5).

Пожалуй, я задумаюсь о полноценном переходе на отладчик IDA, использующий Windbg. Графический интерфейс однозначно удобнее, а если меня застигнет ностальгия, то всегда под рукой строка для ввода команд Windbg.