IDA Pro IDA PRO Embed arch disasm (WOW64)

mak

Соломенные сандалии
Администратор
Сообщения
861
Реакции
654
IDA PRO Embed arch disasm - https://github.com/a1ext/ida-embed-arch-disasm
Allows IDA PRO to disassemble x86-64 code (WOW64) in 32-bit database

По теме - https://cracklab.team/index.php?threads/496/post-4594
Только ядерный отладчик может нормально обрабатывать подобную ситуацию, альтернативно можно использовать IDA Pro с костылями, выбрать WinDBG, тогда можно потрасировать код, но сам код не определяется как 64 битный, поэтому выглядит страшно, в оригинале:
masm:
x64 SEGMENT EXECUTE USE64

    .x64
 
    mov eax,DWORD ptr [rsp+8]
    mov r10,QWORD ptr [rax]
    shr r10,16
    mov QWORD ptr [rax],r10
 
    retf

x64 ENDS
В IDAPro
masm:
x64:00403000 x64 segment para public 'CODE' use32
x64:00403000 assume cs:x64
x64:00403000 ;org 403000h
x64:00403000 assume es:FLAT, ss:FLAT, ds:FLAT, fs:nothing, gs:nothing
x64:00403000 mov     eax, [esp+8]
x64:00403004 dec     esp
x64:00403005 mov     edx, [eax]
x64:00403007 dec     ecx
x64:00403008 shr     edx, 10h
x64:0040300B dec     esp
x64:0040300C mov     [eax], edx
x64:0040300E retf
x64:0040300E ; ---------------------------------------------------------------------------
x64:0040300F align 200h
Можно ли в Иде переназначить формат этого участка? Эксперты, подскажите :)

IDA Embed arch disasm
Allows you to disassemble x86-64 code (like inlined WOW64 one) while you using 32-bit IDA database. This would be helpfull to analyze WOW64 mode switches.

Dependencies
  • capstone Python module
In case you use IDA 7 and newer make sure you download and install capstone for appropriate Python version and architecture, because since IDA 7 by default is 64-bit. You could find the binary installer here

Installation
  • Install capstone
  • Download the main plugin module ida-embed-arch-disasm.py (Right click the link -> Save link as...) and save it to IDA plugins folder
Showcase
Before

before0.png

Select the range you want to disassemble
open_menu0.png

After (disassembled instructions are in comments)
after0.png
 

Прикрепленные файлы:

Верх Низ