IDA PRO

chrizzy265 · 02/17/2014, 18:42

Eine Datei auswählen bearbeiten und wieder kompilieren. Geht das? Lg

Ende! · 02/18/2014, 17:07

Wenn du von "kompilieren" sprichst, beziehst du dich auf den Hex-Rays Pseudocode, den du zu Bearbeiten gedenkst? Das ist zwar allgemein schon möglich (wenn auch nicht mit IDA eigenen Mitteln), allerdings nicht besonders anzuraten. Hex-Rays "Dekompilate" sind nur grobe Abbildungen des Assembly-Codes, häufig gehen dabei aber wichtige Details verloren oder es werden durch compilerspezifische Details abgebildet, die keinen Sinn machen, wenn man den Code wieder kompiliert (Stack-Cookies z.B.).

Den Bytecode selbst zu patchen hingegen ermöglicht IDA von Haus aus; das Menü ist normalerweise lediglich ausgeblendet, da IDA eigentlich nicht für derartige Tasks gedacht ist. Zur Aktivierung muss in IDA-DIR/cfg/idagui.cfg die Zeile

Code:

DISPLAY_PATCH_SUBMENU = YES

hinzugefügt werden. Die Änderungen können dann in Form eines .DIF-Files über IDA's File-Menü extrahiert werden. Tools, um diese dann auf das originale Binary anzuwenden, finden sich per Google. Ich selbst würde IDA allerdings nicht für derartige Dinge nutzen.

°Remus° · 02/18/2014, 23:15

Quote:

Originally Posted by Ende!

Ich selbst würde IDA allerdings nicht für derartige Dinge nutzen.

Was würdest du denn alternativ dazu nehmen?
Ist OllyDBG besser dazu geeignet?

Ende! · 02/19/2014, 16:57

Quote:

Originally Posted by °Remus°

Was würdest du denn alternativ dazu nehmen?
Ist OllyDBG besser dazu geeignet?

Ich muss eigentlich denkbar selten irgendwelche Sachen permanent patchen, aber ja, ich denke ich würde da zu Olly greifen, nachdem ich in IDA alles analysiert habe.

~~iOSsec~~ · 02/19/2014, 21:28

Da hast du Recht, und ich meine IDA unterstützt 50 Prozessorsprachen.
Du kannst dir direkt Kext anzeigen lassen und wie mit Hopper net Pseudo Code auslesen lassen

Easy-Emu · 03/01/2014, 10:16

Quote:

Originally Posted by Ende!

Ich muss eigentlich denkbar selten irgendwelche Sachen permanent patchen, aber ja, ich denke ich würde da zu Olly greifen, nachdem ich in IDA alles analysiert habe.

IDA ist für die statische Analyse und zum finden von Sachen um einiges besser und mächtiger als OllyDbg. Beim Debuggen kommt OllyDbg auch nicht mehr an IDA ran, außer du legst viel Wert auf Gescwindigkeit beim Debuggen, weil da ist IDA echt eine Katastrophe.

buFFy! · 03/01/2014, 10:19

Quote:

Originally Posted by Easy-Emu

Beim Debuggen kommt OllyDbg auch nicht mehr an IDA ran

Bitte was?

Dr. Coxxy · 03/01/2014, 10:45

Quote:

Originally Posted by buFFy!

Bitte was?

neueren IDAs können afaik inzwischen gescheit debuggen, muss aber zugeben, dass ich das noch nicht ausprobiert habe.

Easy-Emu · 03/01/2014, 12:00

Quote:

Originally Posted by buFFy!

Bitte was?

Seit der Version 6 von IDA hat sich da ganz schön viel getan. Wie gesagt, der Debugger von IDA ist zwar um einiges langsamer, also reagiert nicht so schnell, etc. aber die Funktionen und das Arbeiten mit IDA ist/sind mittlerweile um einiges angehnemer als in OllyDBG.

Dazu kommt mit der neuesten IDA Version das Live-Debuggen direkt im Pseucode.

Tyrar · 03/01/2014, 17:38

Habe ich auch schon getestet und finde trotzdem, dass OllyDBG angenehmer ist. Alleine wegen der Geschwindigkeit.
Beim debuggen mit OllyDBG läuft nebenher aber meist IDA, mag vielleicht auch daran liegen, dass meiner Meinung nach IDA was die Oberfläche betrifft viel zu überladen ist.