Набор статей и руководств по дизассемблеру IDA


Ковыряем внутренности


Сразу же после распаковки выяснилась одна проблема - дело в том что бесхитростный Ильфак экспортирует все символы из IDA Pro engine исключительно по ординалам. Однако для того, чтобы все-таки можно было использовать изуродованный таким образом модуль, в SDK есть файл импорта (bin/w32/ida.imp) в формате, генерируемом утилитой implib от Borland. Мною был написан простой Perl script cewl.pl для кое-какой конвертации - в результате был получен файл output, содержащий в себе в сущности имена функций, отсортированные по ординалам. Далее были написаны пара scriptов на IDC для исправления таблицы импорта idaw.exe rename_i.idc и таблицы экспорта ida.wll

rename_e.idc. Поместите перед их запуском ранее полученный файл output

в одну директорию с этими файлами. Поверьте мне, после исполнения вышеназванных сценариев ассемблерный листинг станет значительно понятнее.



Содержание раздела