Гайд Как сохранять/обновлять паттерны

[catir1337]

Запускаем IDA (я открыл client.dll).
СРАЗУ ГОВОРЮ!!!!!
Для этого способа нужен актуальный паттерн. Открываем ваш паттерн и ищем в нём xrefs.

вот так они (xrefs) выглядят
сохраняем ето .
Представим, вышла обнова, в которой изменился паттерн. Заходим в IDA, нажимаем Shift+F12 и Ctrl+F, пишем хреф, который мы сохранили, открываем и делаем паттерн.


Примечание! Берите хрефы, которые используются только в этой функции. Если таких нет — берите те, которые используются меньше всего в других функциях. Если таких тоже нет и все встречаются много раз — записываем дополнительные хрефы, которые есть в этом классе или vtable (это будет ориентир).


Наилучший формат записи: Хреф → Номер функции → Начало функции.


Если не поняли — есть видео на YouTube:

от меня (noad). (там 2 способа поиска/сохранения)



Чтото сказал не правильно проститити дяденька я ни хател .

 

[umbre11a]

Спасибо за гайд, но у тебя есть пару ошибок. То, что ты выделил на скрине, это не xref, а просто строка. IDA записывает строку как aCBuildworkerCs( потому что ida не поддерживает символы типо .\ и тд ), а на деле это C:\\buildworker\\csg....

xref - это ссылка на вызов( там где используют этот кусок ), например xref на функцию или строку, разницы нет.

Также у тебя не записались дочерние окна IDы: например, когда ты нажимаешь X на строке, появляется маленькое окошко со всеми вызовами на эту строку и выбором , поэтому не совсем понятно куда прыгать

Ну и ещё не так важно, но то, что ты называешь функциями, это не совсем правильно. Отдельный граф != новая функция. Там может быть просто какое-то условие или goto, то есть переход к другому куску кода, и всё.

 

[catir1337]

Спасибо за гайд, но у тебя есть пару ошибок. То, что ты выделил на скрине, это не xref, а просто строка. IDA записывает строку как aCBuildworkerCs( потому что ida не поддерживает символы типо .\ и тд ), а на деле это C:\\buildworker\\csg....

xref - это ссылка на вызов( там где используют этот кусок ), например xref на функцию или строку, разницы нет.

Также у тебя не записались дочерние окна IDы: например, когда ты нажимаешь X на строке, появляется маленькое окошко со всеми вызовами на эту строку и выбором , поэтому не совсем понятно куда прыгать

Ну и ещё не так важно, но то, что ты называешь функциями, это не совсем правильно. Отдельный граф != новая функция. Там может быть просто какое-то условие или goto, то есть переход к другому куску кода, и всё.

проститити дяденька я ни хател .

Запускаем IDA (я открыл client.dll).
СРАЗУ ГОВОРЮ!!!!!
Для этого способа нужен актуальный паттерн. Открываем ваш паттерн и ищем в нём xrefs.

Посмотреть вложение 334816вот так они (xrefs) выглядят
сохраняем ето .
Представим, вышла обнова, в которой изменился паттерн. Заходим в IDA, нажимаем Shift+F12 и Ctrl+F, пишем хреф, который мы сохранили, открываем и делаем паттерн.


Примечание! Берите хрефы, которые используются только в этой функции. Если таких нет — берите те, которые используются меньше всего в других функциях. Если таких тоже нет и все встречаются много раз — записываем дополнительные хрефы, которые есть в этом классе или vtable (это будет ориентир).


Наилучший формат записи: Хреф → Номер функции → Начало функции.


Если не поняли — есть видео на YouTube:

от меня (noad). (там 2 способа поиска/сохранения)



Чтото сказал не правильно проститити дяденька я ни хател .

главное нью пастеры умеют искать паттерны а как называть это будут это их дело