Разбираюсь в коде одной утилиты с пом. IDA 6.1.110315 (32-bit). Выданные имена (то, что делается по нажатию 'N') и помеченные функции ('P'/'Alt-P') - не сохраняются. В чем может быть дело??? Что делаю. 1. В коде ставлю брейк (F2). 2. Запускаю приложение (F9). 3. На месте сработавшего брейка вижу интересующий меня участок кода. Начинаю выделять функции ('P'/'Alt-P') или делать другие пометки в коде (назначать имена адресам, коменты в коде). 4. Прерываю выполнение (Ctrl-F2). 5. Опять запускаю приложение (F9), попадаю на тот же брейк и ... не вижу никаких следов моей предыдущей работы. Что я делаю не так??? Может ли быть дело в том, что анализируемый код на самом деле находится в DLL, которая подгружается в запускаемый EXE??? Если вы знаете место (статья, книжка, мануал, whatever else), где точно есть ответ на этот вопрос (а может и многие другие) - буду безмерно благодарен. Спасибо!!!
mrCyber А вы бы попробывали в exe поменить функцию . Если работает то наверное IDA не умеет сохранять записки без базы(Так как для подгружаемой DLL базы данных наверное же нет).
Да, непременно - эта проверка стоит первой на очереди. Но с другой стороны вариантов слишком много, чтобы пускаться в перебор. Хотя если тут ответа не получу - все равно или даже не дожидаясь - параллельно начну. Тут есть люди, которые наверняка знают. И получить ответ здесь - мне может выйти просто сильно дешевле. В общем-то для обмена знаниями форумы и есть. Ок, если IDA будет сохранять для EXE и забывать для DLL - тогда мне надо любой ценой найти способ помнить и для DLL. КАК?
mrCyber Проблема не в обмене в знаниях, просто вы не чего не хотите делать вам бы все на блюдечки подовать ... А вот я вам как бы намекаю что надо делать , а вы не слушать не хотите ... когда вы загрузили файл в ИДУ, у вас создается IDB(База), в который содержатся все пометки(ну все такое). логично что вам надо загрузить в базу больше одного исполняемого файла. Вообще вам сюды 1) http://www.hexblog.com/?p=6 - script 2)http://www.hexblog.com/?p=7 - embeded in IDA pro 3)http://www.hexblog.com/?p=8 - manual 3
shchetinin По поводу "ничего не делать" и блюдечка - эт вы даже плохо представляете, насколько погорячились. Ну да ладно. Главное, что ваши ссылки содержат верное решение - реально все работает. Сразу попробовал рецепт, который идет почему-то аж 3-м номером - он крайне прост и гибок. Так что Большое Спасибо! Помогли мне и еще многим тем, кто позже нагуглит этот пост - неплохо улучшили свою карму. Разве плохо?
Это не отладчик, это дизасм. Что же вы от него хотите в этом случае. Наверно придётся вас разочаровать - оно не будет работать.
shchetinin хз не заметил. Я не покупал сей инструмент, так что юзаю иногда барыжную версию. Мб у час какая поделка и робит, но я этого не наблюдаю. Ида не отладчик.
shchetinin Работает! Я не стал коментить этот пост - ибо он, IMO, не в тему: 1. вроде не было обсуждения отладчиков и дизасмов 2. нет упоминания, кому эта реплика в ответ 3. появилось уже _после_ того, как я поблагодарил за помощь и действующее решение.
LightMoon Да сохранения базы только в платной. mrCyber Глупо это обсуждать , бессмыслено! Я не юзаю IDA как отладчик , а вот для анализа data flow и посмотреть граф , очень дажет помогает. Ну еще можно не которым соотрудником декомпил семпел кинуть , а то ведь могут не одужать.
