IDA PRO

02/17/2014 18:42 chrizzy265#1
Eine Datei auswählen bearbeiten und wieder kompilieren. Geht das? Lg
02/18/2014 17:07 Ende!#2
Wenn du von "kompilieren" sprichst, beziehst du dich auf den Hex-Rays Pseudocode, den du zu Bearbeiten gedenkst? Das ist zwar allgemein schon möglich (wenn auch nicht mit IDA eigenen Mitteln), allerdings nicht besonders anzuraten. Hex-Rays "Dekompilate" sind nur grobe Abbildungen des Assembly-Codes, häufig gehen dabei aber wichtige Details verloren oder es werden durch compilerspezifische Details abgebildet, die keinen Sinn machen, wenn man den Code wieder kompiliert (Stack-Cookies z.B.).

Den Bytecode selbst zu patchen hingegen ermöglicht IDA von Haus aus; das Menü ist normalerweise lediglich ausgeblendet, da IDA eigentlich nicht für derartige Tasks gedacht ist. Zur Aktivierung muss in IDA-DIR/cfg/idagui.cfg die Zeile
Code:
DISPLAY_PATCH_SUBMENU = YES
hinzugefügt werden. Die Änderungen können dann in Form eines .DIF-Files über IDA's File-Menü extrahiert werden. Tools, um diese dann auf das originale Binary anzuwenden, finden sich per Google. Ich selbst würde IDA allerdings nicht für derartige Dinge nutzen.
02/18/2014 23:15 °Remus°#3
Quote:
Originally Posted by Ende! View Post
Ich selbst würde IDA allerdings nicht für derartige Dinge nutzen.
Was würdest du denn alternativ dazu nehmen?
Ist OllyDBG besser dazu geeignet?
02/19/2014 16:57 Ende!#4
Quote:
Originally Posted by °Remus° View Post
Was würdest du denn alternativ dazu nehmen?
Ist OllyDBG besser dazu geeignet?
Ich muss eigentlich denkbar selten irgendwelche Sachen permanent patchen, aber ja, ich denke ich würde da zu Olly greifen, nachdem ich in IDA alles analysiert habe.
02/19/2014 21:28 iOSsec#5
Da hast du Recht, und ich meine IDA unterstützt 50 Prozessorsprachen.
Du kannst dir direkt Kext anzeigen lassen und wie mit Hopper net Pseudo Code auslesen lassen :)
03/01/2014 10:16 Easy-Emu#6
Quote:
Originally Posted by Ende! View Post
Ich muss eigentlich denkbar selten irgendwelche Sachen permanent patchen, aber ja, ich denke ich würde da zu Olly greifen, nachdem ich in IDA alles analysiert habe.
IDA ist für die statische Analyse und zum finden von Sachen um einiges besser und mächtiger als OllyDbg. Beim Debuggen kommt OllyDbg auch nicht mehr an IDA ran, außer du legst viel Wert auf Gescwindigkeit beim Debuggen, weil da ist IDA echt eine Katastrophe.
03/01/2014 10:19 buFFy!#7
Quote:
Originally Posted by Easy-Emu View Post
Beim Debuggen kommt OllyDbg auch nicht mehr an IDA ran
Bitte was?
03/01/2014 10:45 Dr. Coxxy#8
Quote:
Originally Posted by buFFy! View Post
Bitte was?
neueren IDAs können afaik inzwischen gescheit debuggen, muss aber zugeben, dass ich das noch nicht ausprobiert habe.
03/01/2014 12:00 Easy-Emu#9
Quote:
Originally Posted by buFFy! View Post
Bitte was?
Seit der Version 6 von IDA hat sich da ganz schön viel getan. Wie gesagt, der Debugger von IDA ist zwar um einiges langsamer, also reagiert nicht so schnell, etc. aber die Funktionen und das Arbeiten mit IDA ist/sind mittlerweile um einiges angehnemer als in OllyDBG.

Dazu kommt mit der neuesten IDA Version das Live-Debuggen direkt im Pseucode.
03/01/2014 17:38 Tyrar#10
Habe ich auch schon getestet und finde trotzdem, dass OllyDBG angenehmer ist. Alleine wegen der Geschwindigkeit.
Beim debuggen mit OllyDBG läuft nebenher aber meist IDA, mag vielleicht auch daran liegen, dass meiner Meinung nach IDA was die Oberfläche betrifft viel zu überladen ist.