|
[下载]IDA 图书
It is better to download it from here (provided by nanobit): 【下载】The IDA Pro Book [eBook] |
|
[下载]The IDA Pro Book [eBook]
Wonderful, this is a really digital book, not a scanned book of bitmap pages. Thank you so much for providing this link to download. |
|
[下载]VBReFormer 2008 Professional Edition
The link is still a free version of 5.0. |
|
|
|
[下载]IDA 图书
Thank you very much for your link to this book. |
|
[原创]用IDA SDK开发的Delphi字符串(string类型)识别插件(plugins
对兼容性调整了一下,现在可以在IDA4.9至IDA5.2版本下运行,但在IDA4.9Free版本下不能运行。 |
|
[原创]用IDA SDK开发的超强Delphi对象识别插件(plugins)
对版本兼容性作了调整,重编译后可以在IDA 4.9(4.9 Free版除外)到IDA 5.2下运行,目前不能识别Delphi 2.0的对象(如TotalCommander),其他版本似乎都可以。 |
|
[原创]用IDA SDK开发的超强Delphi对象识别插件(plugins)
你说的应该是Pascal string (length+string 不以0字节结尾) 而不是 Delphi string (0FFFFFFFFh+length+C_string),我这里是专门识别Delphi string,没考虑 Pascal string。的确Pascal string 的识别难度更大一些,但最难的是C string。正因为难度太大,IDA才给出了C-style, DOS style, Pascal style, Wide pascal, Delphi, Unicode, Unicode pascal, Unicode wide pascal 和 Character terminated 这么多选项,电脑无论如何也比不上人脑,这也是IDA以thinking为核心的具体体现。 |
|
[原创]用IDA SDK开发的超强Delphi对象识别插件(plugins)
经检查你所提供的样本,没有发现漏掉的Delphi string。有些情况 0FFFFFFFFh 后面不一定就是Delphi string,如 File Offset 00000900 F9 8B F4 C7 44 24 08 FF FF FF FF 33 C9 89 4C 24 00000910 0C 89 44 24 10 03 54 24 这里的0FFFFFFFFh是汇编指令的立即数; 再如 File Offset 0000EC00 00 00 00 00 FF FF FF FF 00 00 00 00 0B 55 6E 69 0000EC10 74 5F 63 6F 6D 66 75 6E 55 8B EC 81 C4 C4 FB FF 这里的0FFFFFFFFh 是名字为".2" 的 Delphi type 对象的一部分... 等等。 你可否指出“有好几个字串没能识别出来”的具体情况?以便找出bug,提高识别准确率。0FFFFFFFFh 仅仅是判断 Delphi string的必要条件,而非充分条件。 我前面提到要准确识别 Delphi string 并不是那末简单就是指这个“充分条件”不太好把握。谢谢你提出宝贵意见。 另外需要补充说明一点就是.log文件中记录的是某一组(group)Delphi string中的第一个,而不是全部。我这里是以组(连续的一个或若干个Delphi string为一组)为单位进行记录的。跟前面Delphi对象搜索结果不同。如果你认为有必要也可以改为记录所有的Delphi string。 |
|
[原创]用IDA SDK开发的超强Delphi对象识别插件(plugins)
可否提供未分析出Delphi string的样本? |
|
[原创]用IDA SDK开发的超强Delphi对象识别插件(plugins)
这个实现起来有点难度,本来最初是想自动识别,但遇到诸多困难。因为Delphi的对象存在多种变体,不像Delphi string那样规矩,但是要精准地识别Delphi string已经实属不易。 自动识别Delphi对象的plugin目前还没有调试通过,等以后有时间再努力把。不知是否存在能够用idc脚本来调用plugin的方法。如果有的话,倒是可以考虑用idc脚本读取.log文件中的地址,然后再调用plugin。 不过FindDelphiClass.plw几乎可以列出整个程序的全部对象起始地址,如果只是关心局部内容的话,现在的版本以已经足够强大,因为DecodeDelphiClass.plw可以成片地识别Delphi对象,而不是某一个。这个问题的难点在于如何准确地确定成片对象的末地址,从而确定其地址空间。 |
|
[推荐]new release of IDA signatures
Who can make copies of the signatures here? Thanks for help. |
|
[原创]用IDA SDK开发的超强Delphi对象识别插件(plugins)
第四次升级,又修正了一些错误。 |
|
[求助]怎样反编译bin文件
用Hview或WinHex都可以。 |
|
[求助]有些不懂的地方,希望大伙一起帮我看看.谢谢
关键的几行好像注释得挺好挺清楚: CODE:0059693A mov eax, [ebp+var_4] ; CODE:0059693D push eax ; CODE:0059693E lea edx, [ebp+var_8] ; CODE:00596941 mov eax, [ebx+18h] ;param0->Number18h CODE:00596944 mov ecx, [eax] ; CODE:00596946 call dword ptr [ecx+58h] ;Var4.Call58h(); CODE:00596949 mov edx, [ebp+var_8] ; CODE:0059694C pop eax CODE:0059694D call @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void) ; CODE:00596952 jz short loc_596968 ;if(var_8!=var_4) 是不是说var_8==var_4就OK? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值