Простенькая тулза, в замен IDApro и понимающая 64-bit mode

По сабжу. Уже не одного гуру спросил про такую тулзу, но никто не дал пинка на тулзу.

А требования к тулзе:
1. Не такая тяжеловесность как ИДА, не зачем по воробьям из пушки стрелять (хоть и прикольно
2. Понимание 64-битного и совместимого 32-битного, т.е. REX-префикс ее не должен смущать

Примером может быть HIEW, но жаль что он непонимает 64-bit mode

спасибо, за внимание

 

EvilsInterrupt
1) IDA 5.0 - пошустрее предыдущих будет.
2) написать свой hiew
3) уговорить автора хью дописать поддержку 64бит

А вообще, "простенькая" и "взамен IDA Pro" несколько несовместимые понятия, не находишь?

 

А у вас нет такого же но с перламутровыми пуговицами (с)

 

IceStudent
да эта и ИДА пока загрузится, пока она загрузится, чтобы проверить, а правильно ли я закодировал инструкцию - этож писец! А мне нужно проверять мои мысли иначе и дизассемблировать правильно не научусь!

 

Насчет 64х-бит не знаю - не пробовал, а для 32х баловался так:

1. Закрываешь все окна, кроме дизасма. Windows->Save Desktop... и сохраняешь как дефолтовый расклад окон. Теперь при каждой новой сесии не будут открываться лишние окна.

2. В месте, которое тебе надо смотреть, вбиваешь в код какую-нибудь уникальную сигнатуру, например:

Код (Text):

1. __asm __emit 0x33
2. __asm __emit 0x33
3. __asm __emit 0x33
4. __asm __emit 0x33

3. Вливаешь в IDA. В диалоге "Load a new file" убираешь галку с Analysis Enabled.

4. Ищешь сигнатуру: Alt+B и вбить строку (вместе с кавычками) "3333". Попадаешь на нужное тебе место и дальше нажимая на С дизасмишь то, что нужно.

Сигнатуру для простоты можно в макрос вбить.


Если нужно, чтобы код мог выполняться, то делаешь обход сигнатуры

Код (Text):

1. __asm call $+5
2. __asm pop eax
3. __asm add eax, 10
4. __asm jmp eax
5. __asm __emit 0x33
6. __asm __emit 0x33
7. __asm __emit 0x33
8. __asm __emit 0x33

Кажется, 64х-битный компилер не разрешает делать инлайновый асм - только в отдельной процедуре - точно не знаю. Но это как идея - попробуй.

 

Four-F
Выход,но это все равно как-то не то!
Как-то уж привык в hiew нажал на F3 при 32-бит режиме и он налету тебе дизасмит. Бысто-лаконично-комфортно

 

EvilsInterrupt
Отвыкай

 

Блин, даже модератору не пожалуешься!

 

- Товарищ барабанщик, поступает информация, что вы мало стучите.
- Но у меня партия такая...
- Партия у нас одна, а стучать надо чаще!

 

EvilsInterrupt
Если это ЕХЕ, поднимай его под дебагером с хорошим дизасмом. Быстрее будет чем в IDA каждый раз грузить.

 

тулза называется biew
http://biew.sourceforge.net/ru/biew.html

 

Еще есть в IDA File->Load file->Reload the input file
Работает быстро

 

CnCVK
да я вот подумываю, а может скрипт попробовать на писать, взять байты и отдизасмить!