holycall holycall

VC++ 컴파일러가 function call을 할 때 일반적으로는 call instruction을 사용하지만, call 이후에 바로 return하는 경우에는 jmp instruciton을 사용하여 optimize 한다. 그림에서 41BAFE로 call하는 부분과 jmp하는 부분이 있다. jmp로 가면 41BAFE 함수에서 return 하면 41B851을 호출한 함수로 바로 return 하게 된다. 생각해 보면 이런 optimize는 항상 할 수 있는 것은 아니고, 실제 code에서의 function이 아니라 function chunk에 대한 call을 할 때 가능해진다. 이것은 Java bytecode에서의 jsr instruction과 유사한 방식의 optimize를 할 때 사용하는 것 같다. stac..

IDAPro의 분석 및 실행을 동시에 하고 싶을 때 idag -A -Smyscript.idc input_file 을 해 주면 되고 myscript.idc에는 #include static main() { Message("Waiting for the end of the auto analysis...\n"); Wait(); Message("\n\n------ Running Plug-in --------\n"); RunPlugin("IDA2SQL",1); Message("All done, exiting...\n"); Exit(0); // exit to OS, error code 0 - success } Wait()는 autoanalysis가 끝날 때까지 기다리게 한다. RunPlugin으로 plugin을 실행해..

예전에는 steve의 idapro plugin writing plugin tutorial이 괜찮았으나, 현재는 idapro sdk directory의 readme와 install_ 파일을 읽는 것이 가장 좋다. 버전 올라가면서 설명이 좀 더 나아졌다. 질문은 http://openrce.org 가 가장 하기 좋다. Datarescue보다 오히려 활성화되어 있다. 관리하고 있는 pedram도 Pai Mei 툴을 active하게 개발하고 있으며 blog도 관리하고 있기 때문이다. 오히려 idapro 개발자가 여기 자주 들어온다.