Как анализировать исследуемый код(методика)?

Привет, форумчане!
Можете подсказать методику анализа исследуемого кода.
Проблема в том, что когда анализируешь туеву хучу кода, то части, которые проанализировал нужно как-то записывать, а то получится, что
когда продвинешься дальше в анализе, забудешь с чего начинал.
Для того, чтобы этого не происходило, как я понимаю, нужно каким-то
образом фиксировать изученный уже код. Отсюда и вопрос:
Как это делают опытные кодокопатели? Поделитесь, пожалуйста опытом.

 

в IDA записывай, давай осмысленные имена функциям чтобы потом было удобно читать

в ольке можно адресам имена давать

 

Спасибо, учту.
Что если использовать uml диаграммы?

 

neutronion
зачем?

 

Фиг знает
Может быть так удобно взглянуть на программу с "высоты птичьего полета"? Что, где и как происходит. Типа дорожной карты.

 

neutronion

неэффективно при реверсинге, если конечно, это не реверсный движок восстанавливает в диаграммы...
ещё больше запутаетесь.

 

neutronion

А в чём конкретно вопрос? Можно и UML. У нас процесс получения UML-диаграмм из исходного кода (не! из бинарника) преподаватели называют реверсингом , что меня очень веселит, но в принципе по большому счёту они правы.
Упрощённый вариант полной цепочки разработки выглядит так: требования клиента -> UML -> исходник -> бинарник.
Похоже, в случае реверса по схеме бинарник -> UML чего-то явно не хватает. ИМХО из-за этого задача будет усложнена. Вот когда после основательной обработки в IDA смысл будет всё ещё неясен, тогда можно и к UML перейти. Но обычно это не требуется: не слышал вроде о реверсе больших проектов в корпоративных масшатбах.

 

т.е. резюмируя все вышесказанное, нет практической необходимости, по крайней мере пока, извращаться в uml диаграммы, достаточно комментирования в ИДА и Ольке?

 

В IDA очень удобно давать repeatable comments ф-иям. Я обычно кратенько пишу, что ф-ия делает (вставляю декомпилированный код, если ф-ия небольшая). В итоге, когда код смотришь, сразу понятно что и как вызывается. Единственное неудобство -- комментарии не отображаются в графах вызовов, но в этом случае надо просто давать имена ф-иям, как уже сказали.

 

Обычно я в асмедите сохрпаняю части кода и коменты, после чего сохраняю это всё на десктоп, отчего он засерается за небольшое время
Тогда работа с кодом выполняется до тех пор, пока не будут запомнены все нужные функи/ссылки и пр.

 

сидеть в хексрейзе и наяривать "n", "y", "n", "y", пока не получим более менее читаемый сорц. по сорцу логика становтся понятной обычно.

 

neutronion
Многие используют связку IDA Pro и notepad.exe, второй для того чтобы записать то что увидели в первом. Однако! Ида обладает своим собственным механизмом написания заметок. Таким образом, давая понятные имена, и ставя якоря Alt+M, навигация по ним Ctrl+M ты можешь еще добавить в заметку и желательно делать по шагам, пример на простенький пакер:

Шаг1: расшифровка первого слоя, адреса от точки входа .... , метка ....
Шаг2: вызов LZMA декодера, подают в цикле объекты шифрованных кусков
Шаг3: ..

и т.д. и т.п. пиши так как тебе удобно! но в заметках пиши более высоко не вдаваясь в детали "копирование байтов", это ты и в коде с помощью rep movsb можешь увидеть !!! Лучше в заметке юзать че нить : "юзается lzo1x_s1 из популярной по урлу:..." это даст тебе больше фичей!

Храни свои идб-шки как зеницу ока, сохраняй ключ лицензии к ида, если вдруг переходишь на другую лицензию

 

EvilsInterrupt

Вы слишком критичны. Стоит сказать что я использую иду крайне редко. Основной инструмент это олли + компилятор.

 

в IDA еще раскраска помогает, когда функции длинные

 

Проясните пожалуйста этот момент.
Ведь исследуется чужой код без исходников? Зачем компилятор?

 

neutronion
Весьма часто не достаточно отладчика/дизасма, например знал что гдето в ядре есть ссылка, писал дров который её там ищет. Или например ветвление найти, которое отладчик не находит. Это в статике, в динамике, тоесть при отладке всёвремя приходится всякие стабы, заглушки и прочее подключать.

 

neutronion Это означает, что Клерку может удобней через дебаг, а мне через дизасм! А тебе ваще может через понимание маш. инструкций в бинарном виде! На вкус и цвет, не заморачивайся, а бери интересные вещи для тебя и анализи, то что тебе помогло сегодня, значит про анализи - почему? может это твой маст хэв на долгие годы

>>Вы слишком критичны. Стоит сказать что я использую иду крайне редко. Основной инструмент это олли + компилятор.
компилятор никто и никогда не отменит! Как и отладчик, когда думать влом проще глянуть ))) Время экономит, да и дает не предположения, а чуть ли не 100-процентную уверенность в получаемом результате. Но!!! Дебагер это запуск, а запуск сомнительного кодеса на реальной это дебилизм, а вм-вары не всегда бывают настроены, вывод - дизасм!

 

>>в IDA еще раскраска помогает, когда функции длинные
ты по реверси алго, скажем распаковки чего-нить где нет ни одной функции! Скажем только сырой код ф-ции, рипнутой откуда нить, думаю тебе эта раскрасска даже снится будет

 

Вот у меня сейчас реально есть некая функция Н, которая
я точно знаю ответственна за возвращения объекта, который используется в проверке времени работы программы, т.е. ограничение в 30 дней. Проверено, 100%.

Однако встал вопрос, эта функция вызывается 9 раз из разных мест в исследуемой программе. Вопрос, что делать в таком случае, исследовать каждый из 9 вызовов, чтобы определить, где происходит сравнение с
ограничением времени? Что если они все участвуют в
механизме защиты?

 

neutronion ну попробовать патчить как-нить налету, посмотреть результат
включить апи-шпион, глянуть какие-функции вызываются после каждого из 9 мест