База данных IDA от void17

Ну не игнорирует же компилятор соглашения. MinGW - это же не поделка какая-то, хорошая репутация у компилятора есть. Заменил __fastcall на неправильный в данном случае __thiscall и окошко уже поехало (строку взяли из ecx, __fastcall следующий аргумент из edx взял, а __thiscall - сразу из стека, поэтому окно и не по центру оказалось), так что работают соглашения.

Отлично, значит я спокойно могу использовать адекватный компилятор(GCC) и code::blocks

GCC на голову выше MSVC, к тому же здесь грамотно реализована libc. А установка пакетов с MSYS2+Pacman это буквально пара кликов.
Надо будет это все в helpme описать

Такой вопрос. Ниже приведён фрагмент декомпилированного кода, где this - это searchArray*, cell - searchPoint cell[72][72], sizeof(searchPoint) == 9.

Код: Выделить всё

curSearchPoint = *(searchPoint *)((char *)&this->cell[0][64 * X + 8 * X] + 8 * Y + Y);

После элементарных преобразований получаем:

Код: Выделить всё

curSearchPoint = *(searchPoint *)((char *)&this->cell[0][72 * X] + 9 * Y); => curSearchPoint = *(searchPoint *)((char *)&this->cell[0][72 * X] + sizeof(searchPoint) * Y); =>
=> curSearchPoint = *(searchPoint *)((char *)&this->cell[X][Y]); => curSearchPoint = *(searchPoint *)&this->cell[X][Y];

Известны ли способы заставить IDA понимать, что 64 * X + 8 * X = 72 * X? Не первый раз такое встречаю и ничего поделать не могу. Ведь нечитабельно. Понятное дело, что такой ассемблер, и два умножения посчитаны отдельно, но может быть, можно как-то подсказать IDA, что мы имеем дело с индексами двумерного массива?

Или вот пример попроще, но суть та же:

Код: Выделить всё

curSearchPoint = *(this->path + 8 * iSearchPointsNum + iSearchPointsNum);

Путь - это массив searchPoint path[1024]; Как строку выше преобразовать в то, чем она является?

Код: Выделить всё

curSearchPoint = *(this->path + 8 * iSearchPointsNum + iSearchPointsNum); => curSearchPoint = *(this->path + 9 * iSearchPointsNum); =>
=> curSearchPoint = *(this->path + sizeof(searchPoint) * iSearchPointsNum); =>  curSearchPoint = this->path[iSearchPointsNum];

Ну это нечитаемо конечно, но понять-то можно что происходит. Я ничего не могу с этим сделать, к сожалению.

Это Герои 1. Неужели нет способа подсказать IDA, что 8 + 1 = 9? Тогда, я думаю, и индексы бы подхватились. А сейчас она не понимает, что 8 + 1 - это размер.

Нет, нету. Декомпилят это именно что плагин с закрытым кодом, можно посмотреть для него дополнительные плагины и вкурить этот безумный SDK.

Есть еще плагины IDA Ghidra Decompiler, retdec decompiler for IDA.

С IDAвским декомпилятором можно попробовать поменять тип переменной(клавиша Y) в декомпляте на тот же самый и иногда это срабатывает. Либо поменять на void* или на int*, вообщем поиграться с типами, магическим образом все начинает нормально отображаться. Еще это зависит от версии IDA, я использую только 7.7... Вообщем это плохо когда имеем дело с проприетарным ПО, нельзя просто пофиксить баг.

Вот из-за такого ассемблера IDA путается:

Код: Выделить всё

lea     edx, [ebp+eax*8+0]
lea     eax, [eax+edx+14h]

Первая строчка: edx = ebp + eax * 8. Подставляем во вторую: eax = eax + edx + 20 = eax + (ebp + eax * 8) + 20 = ebp + 8 * eax + eax + 20. И вот эту сумму она в 9 * eax никак не хочет преобразовывать.

Если что я вернулся к API. По-тихоньку учусь писать плагины для IDA. Хочу автоматизировать написание API, это будет круто.
Сейчас надо сделать настраиваемый дамп информации о типах в базе данных. (По аналогии с Create C Header File.. но лучше)
Пока что сделал чтобы выводил список всех типов БД в output window, потом допилю и возможно прикручу GUI-шку и запилю свои плагины на гитхаб.

 

Код: Выделить всё

// type information dumper by void_17
// version 0.1, september 10th 2023.

#include <ida.hpp>
#include <idp.hpp>
#include <loader.hpp>
#include <kernwin.hpp>
#include <typeinf.hpp>

// Plugin struct
//--------------------------------------------------------------------------
struct plugin_ctx_t : public plugmod_t
{
    virtual bool idaapi run(size_t) override;
};

//--------------------------------------------------------------------------
bool idaapi plugin_ctx_t::run(size_t)
{
    info("Dumping type names... Look in the output window.");
    const til_t* idati = get_idati(); // get the database's type information library
    const int num_types = get_ordinal_qty(idati);
    qstring curr_name{};
    tinfo_t tif{};
    msg("List of types: \n");
    for ( uint32_t i = 1; i < num_types; ++i )
    {
        tif.get_numbered_type(idati, i);
        tif.get_type_name(&curr_name);
        assert(!curr_name.empty());
        msg("%s; \n", curr_name.c_str());
    }
    return true;
}

//--------------------------------------------------------------------------
static plugmod_t* idaapi init()
{
    return new plugin_ctx_t;
}

//--------------------------------------------------------------------------
plugin_t PLUGIN =
{
  IDP_INTERFACE_VERSION,
  PLUGIN_UNL            // Unload the plugin immediately after calling 'run'
  | PLUGIN_MULTI,       // The plugin can work with multiple idbs in parallel
  init,                 // initialize
  nullptr,
  nullptr,
  nullptr,              // long comment about the plugin
  nullptr,              // multiline help about the plugin
  "TIDv17",             // the preferred short name of the plugin
  nullptr,              // the preferred hotkey to run the plugin
};


Появился такой вопрос. В С++98 же не было __int64? И long long, как я почитал, не было (если верить). Писались ли Герои с каким-то расширением языка? В дампе T_QUAD(013) просто, и это 64 бита.