Как работать с чужой базой IDA?

Question

[Hatemylifezxc]

Вот допустим я нашел чужой .idb файл там что то реверсили до меня. Как найти по этой базе все то, что уже найдено до меня не общавшись человеком. НУ вплане куда смотреть ?

Answer 1

[15432]

Подписанные имена функций, комментарии, сишные структуры.

Comments

[Hatemylifezxc]

А есть какой то способ найти все комментарии, все добавленные имена функций, структур в разделе structures, чтобы отличить их от тех, что ида наанализировала ?

[15432]

Hatemylifezxc, выгрузить базу в .idc (File - Produce File)

ну а функции - все что не с sub_ начинаются

[Hatemylifezxc]

Вот названия функции после анализа IDA, того же файла для которого есть база. это кроме тех еще, что std:: ну и другие знакомые ей функции.

[15432]

Hatemylifezxc, IDA автоматом называет те функции, которые уже знает, в том числе:
- экспортируемые и импортируемые функции, их имена прописаны в .exe
- библиотечные функции
- все функции программы, если в ней есть отладочные символы

чем больше функций подписано, тем проще понимать, что там происходит.
если у вас отладочная версия программы со всеми символами, реверсить её очень просто.

так что основное, что в .idb делает реверс-инженер - называет функции и добавляет комментарии. все остальные результаты реверс-инжиниринга уже вне этой базы - различные сишные исходники, патчи, программы, созданные на основе анализа исследуемого файла

[15432]

Вы можете выгрузить .idc из полученной базы и из "чистой" базы, а затем сравнить как текстовые файлы. Вы сразу так найдёте, что было добавлено в базу предыдущим исследователем

[Hatemylifezxc]

15432, впринцыпе этим я и занимался, просто это не очень удобно, думал может есть что то типо лога его действий.