Описание функций встроенного языка

80
║ ▼
╚═════════════════════════════════════◄■▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒►─┘ void SetSelector(long sel,long value)
Функция создает новый селектор или изменяет значение уже существующего селектора. Создаваемый селектор не должен совпадать с базовым адресом ни одного сегмента, иначе для базирования этого сегмента будет автоматически использоваться созданный селектор, а не его базовый адрес, что приведет к искажению всех смещений внутри сегмента.
Максимальное допустимое количество селекторов равно 4096 (0x1000 в шестнадцатеричной системе исчисления), а индексы селекторов могут принимать любые значение от 0x0 до 0xFFFF включительно.
Аргумент sel задает 16-разрядный индекс создаваемого или модифицируемого селектора. Старшее слово, передаваемого 32-битного значения автоматически обрезается, в результате чего существует угроза непреднамеренного искажения другого селектора, что подтверждает следующий эксперимент:
SetSelector(0x1,0x666);
Message(">%X\n",AskSelector(0x1)); a) создаем селектор с индексом 0x1 и значением 0x666 и тут же проверяем его значение
>666 b) селектор имеет значение 0x666
SetSelector(0x10001,0x777); c) пытаемся создать селектор с индексом 0x10001 и значением 0x777
Message(">%X\n",AskSelector(0x1)); d) проверяем значение селектора 0x1
>777 e) результат – значение селектора 0x1 искажено! Старшие 16 бит индекса 0x10001 были обрезаны, в результате чего был модифицирован селектор
0x10001 AND 0xFFFF == 0x1
Аргумент value содержит 32-разрядное значение базы сегмента в параграфах. Оно будет автоматически использовано для базирования сегмента базовый адрес которого равен индексу данного селектора.
Замечание: функция DeleteAll (см. описание функции DeleteAll), удаляющая все
сегменты, не уничтожает селекторов и их приходится удалять «вручную»
вызовом DelSelector.
??? #Верстальщику Change Table аргумент пояснения sel 16-разрядный индекс селектора val 32-разрядное значение селектора в параграфах
=return пояснение return void функция не возвращает никакого значения
Родственные функции: AskSelector, DelSelector
Интерактивный аналог: “View\Selector”, - создает новый,

81
изменяет значение уже существующего селектора. void DelSelector(long sel)
Функция удаляет селектор, если он существует, в противном случае ничего не происходит. Если данный селектор использовался для базирования сегмента, новый базовый адрес сегмента будет равен base = sel * 0x10, а смещение первого байта в сегмента соответственно: startoffset = startea - sel * 0x10. Создав заново уничиженный селектор вызовом SetSelector, можно все вернуть на свои места.
Аргумент sel задает 16-разрядный индекс удаляемого селектора. Старшее слово, передаваемого 32-битного значения автоматически обрезается, в результате чего существует угроза непреднамеренного уничтожения другого селектора, что подтверждает следующий эксперимент:
SetSelector(0x1,0x666);
Message(">%X\n",AskSelector(0x1)); a) создаем селектор с индексом 0x1 и значением 0x666 и тут же проверяем его значение
>666 b) селектор имеет значение 0x666
DelSelector(0x10001,0x777); c) пытаемся удалить селектор с индексом 0x10001
Message(">%X\n",AskSelector(0x1)); d) проверяем значение селектора 0x1
>FFFFFFFF e) результат – селектора 0x1 был уничтожен! Старшие 16 бит индекса 0x10001 были обрезаны, в результате чего был удален селектор 0x10001 AND 0xFFFF == 0x1
??? #Верстальщику Change Table аргумент пояснения sel 16-разрядный индекс уничтожаемого селектора
=return пояснение return void функция не возвращает никакого значения
Родственные функции: SetSelector
Интерактивный аналог: “View\Selectors”, long AskSelector(long sel)
Функция возвращает значение селектора в параграфах. Если запрошенный селектор отсутствует, функция возвратит переданное ей значение, сигнализируя об ошибке (внимание! не BADADDR). Поскольку, значение селектора не может быть равно его индексу, никакой неоднозначности не возникает, однако, автору книги совершенно непонятно чем вызвано такое решение – не лучше ли при неуспешном завершении функции возвращать BADADDR – значение, которое не может иметь ни один селектор?
Аргумент sel задает 16-разрядный индекс запрашиваемого селектора. Старшее слово передаваемого 32-битного значения автоматически обрезается, в результате существует возможность обращения совсем к другому селектору, чем предполагалось.

82
Ввиду всего вышесказанного проверка успешности завершения функции должна выглядеть так: if ((selvalue=AskSelector(sel)) == (sel & 0xFFFF))
// ошибка else
// успешное завершение функции
??? #Верстальщику Change Table аргумент пояснения sel 16-разрядный индекс запрашиваемого селектора
=return пояснения sel & 0xFFFF ошибка return
!=(sel & 0xFFF) 32-разрядное значение селектора в параграфах
Родственные функции: SetSelector, FindSelector
Интерактивный аналог: “View\Selectors”
┌─── Индекс селектора
│ ┌─── значение селектора
╔═▼[■]══▼══ Selectors ══4═[↑]═╗
║ Sel Value ▲
║ 0001 00000666 ■
║ 0002 00000999 ▒
║ ▼
╚1/2 ═══════════════─┘ long FindSelector(long val)
Функция возвращнаходит индекс селектора с указанным значением val, выраженном в параграфах.
Если существуют два и более селектора с идентиченым значениями, функция возвращает индекс первого из них в порядке создания. Если же ни одного селектора с таким значением не существет, функция возращает младшие 16 бит переданного ей агрумента обратно.
Поскольку, значение селектора не может быть равно его индексу, никакой неоднозначности не возникает, однако, автору книги совершенно непонятно чем вызвано такое решение – не лучше ли при неуспешном завершении функции возвращать BADADDR
– значение, которое не может иметь ни один селектор?
Ввиду всего вышесказанного проверка успешности завершения функции должна выглядеть так: if ((sel=FindSelector(selvalue)) == (selvalue & 0xFFFF))
// ошибка else
// успешное завершение функции
Замечание: поскольку с данным базовым адресом может существовать только
один сегмент, в создании двух и более селекторов с одинаковыми значениями
никакой необходимости нет. Тем не менее, функция SetSelector не
препятствует этому и существования двух и более селекторов с одинаковыми
индексами в принципе возможно, – один селектор может использоваться для
базирования некоторого сегмента, а остальные простаивать. В такой

83
ситуации функция FindSelector может возвратить неверный результат,
поэтому, перед ее вызовом следует убедиться, что существует не более
одного селектора с каждым значением. Единственный документированный
способ решения этой задачи заключается в последовательном переборе всех
возможных селекторов в интервале от 0x0 до 0xFFFF.
??? #Верстальщику Change Table аргумент пояснения val 32-разрядное значение селектора в параграфах для поиска
=return пояснение
==(val & 0xFFFF) ошибка return
!=(val & 0xFFF) 16-разрядный индекс селектора с указанным значением
Родственные функции: SetSelector, AskSelector
Интерактивный аналог: “View\Selectors”
┌─── Индекс селектора
│ ┌─── значение селектора
╔═▼[■]══▼══ Selectors ══4═[↑]═╗
║ Sel Value ▲
║ 0001 00000666 ■
║ 0002 00000999 ▒
║ ▼
╚1/2 ═══════════════─┘
ЭЛЕМЕМЕНЫ
#Defenition
С каждым адресом виртуальной памяти связано 32-разрядное поле флагов (см. главу «Виртуальная память»). Флаги хранят содержимое ячейки, описывают ее представление и указывают на наличие связанных с ней объектов.
Содержимое ячейки: флаги хранят содержимое ячейки виртуальной памяти (в восьми младших битах) или указывают на то, что ячейка содержит неинициализированное значение (см. главу «Виртуальная память»).
Представление: флаги определяют будет ли отображаться данный байт в виде данных или машинной инструкции. Они так же позволяют уточнить в виде каких именно данных (массива, строки, переменной, непосредственного значения или смещения) он должен отображаться (см. главу «Типы элементов»)
Связанные объект: флаги указывают на наличие на наличие связанных с ячейкой объектов – меток, имен, комментариев и т.д. Сами объекты хранятся в отдельном виртуальном массиве, проиндексированного линейными адресами. В принципе без флагов, ссылающихся на объекты можно было бы и обойтись, но тогда бы пришлось при отображении каждой ячейки просматривать все виртуальные массивы на предмет поиска объектов, ассоциированных с данным линейными адресом, что отрицательно сказалось бы на производительности дизассемблера. Напротив, перенос этой информации в флаги позволяет ускорить работу – обращение к виртуальному массиву происходит только в тех случаях, когда с ячейкой заведомо связан какой-то объект. (см. главу «Объекты»)
Размер машинных инструкций и типов данных различен, и это не дает возможности быстро определить к какой инструкции (переменной) принадлежит ячейка с таким-то линейным адресом. Можно провести следующую аналогию – текст со словами не

84
отделенными друг от друга пробелами из произвольной точки читать невозможно, поскольку неизвестно чем является та или иная буква – началом слова или его серединой.
Образно говоря, при дизассемблировании IDA разбивает исследуемый файл на
«слова», в терминологии разработчиков - элементы.
Элементом называется последовательность смежных ячеек виртуальной памяти, содержащих одну самостоятельную конструкцию языка ассемблера, с которой можно оперировать как с одним целым, – инструкцию, строку, переменную и т.д.
Первая ячейка элемента называется головой, а все, последующие за ней –
хвостом. Элементы единичной длины состоят только из головы и не имеют хвоста.
Признаком головы является ненулевое значение бита FF_DATA (см. таблицу 10) поля флагов. Соответственно признаком хвоста является нулевое значение бита FF_DATA и ненулевое значение бита FF_TAIL.
Свойства элемента определяются свойствами его головы. Свойства головы определяются флагами, связанными с данной ячейкой виртуальной памяти.
Существуют элементы двух видов – элементы кода (CODE) и элементы
данных.(DATE).
Вид элемента задается сочетанием дух битов FF_DATA и FF_TAIL следующим образом (см. таблицу 11) – если бит головы (FF_DATA) установлен, то значение бита хвоста (FF_TAIL) интерпретируется типом элемента – его единичное значение задает тип
CODE, в противном случае – DATA; напротив, если бит головы сброшен, единичное значение бита FF_TAIL трактуется признаком хвоста элемента; если же оба бита FF_DATA и FF_TAIL сброшены – элемент считается неопределенным (unexplored), т.е. несуществующим.
… A
9 8
7
…
1 0 бит поле флагов поле содержимого обозначение …
FF_DATA
FF_TAIL FF_IVL
MS_VAL голова хвост ==1
==0 тип элемента признак хвоста
==0 ==1 назначение …
Голова
DATA CODE
==1 инициализи рованный байт не инициализи рованный байт содержимое ячейки маска …
0x400 0x200 0x100 0xFF
Таблица 10 устройство элемента
FF_DATA
0 1 0 неопределенный элемент
FF_UNK элемент данных, голова
FF_DATA
FF_TAIL
1 хвост элемента
FF_FAIL элемент кода, голова
FF_CODE
Таблица 11 Определение типа элемента
Хвостовые флаги в двенадцати старших битах содержат смещения относительно начала и конца элемента. Флаги, расположенные по четному линейному адресу – относительно конца, а флаги расположенные по нечетному линейному адресу – относительно его начала.

85
Это позволяет легко определить к какому элементу принадлежит такая-то ячейка, а так же узнать линейный адрес начла и конца элемента, на основании которых легко вычислить его длину.
Замечание: в файле , входящим в IDA SDK определена
функция, возвращающая значение хвостовых бит “
inline ushort gettof(flags_t F) { return
ushort((F & TL_TOFF) >> TL_TSFT); }
”
Внимание: созвать новые объекты, использовать или изменять хвостовые
биты может только ядро IDA, но не пользовательские модули! В противном
случае это может привести к некорректной работе и зависанию дизассемблера.
Элементы могут существовать только внутри сегментов – попытка создания элемента по адресу, не принадлежащему ни одному сегменту, обречена на провал.
Навигатор по функциям
Созданием элементов всецело занимается ядро IDA; пользовательские скрипты хотя и имеют достаточные для «ручного» создания элементов привилегии, пользоваться этими привилегиями категорически не рекомендуется - даже незначительная ошибка способна вызвать непредсказуемое поведения дизассемблера вплоть до его полного
«зависания».
Напротив, работая с уже созданными ядром элементами, пользователь может решить ряд задач, облегчающих дизассемблирование исследуемого файла. Пусть, например, требуется отыскать в тексте все условные переходы, стоящие после инструкции
“test”, следующей за вызовом функции, иначе говоря, произвести поиск по шаблону “call
*\test *,*\j? *” и вывести протокол отчета.
Это можно осуществить с помощью следующего листинга, сердцем которого является цикл, вызывающий функцию NextHead, последовательно переходящей от одной машинной инструкции к другой:
#include static main()
{ auto a; a=0; while(a!=BADADDR)
{ if (isCode(GetFlags(a))) if( (GetMnem(a)=="call")
&& (GetMnem(NextHead(a,BADADDR))=="test")
&& (Byte(NextHead(NextHead(a,BADADDR),BADADDR)) > 0x6F)
&& (Byte(NextHead(NextHead(a,BADADDR),BADADDR)) < 0x80))
Message(">%s %4s %s\n>%s %4s %s,%s\n>%s %s %s\n>-------\n", atoa(a),GetMnem(a),GetOpnd(a,0), atoa(NextHead(a,BADADDR)),
GetMnem(NextHead(a,BADADDR)),
GetOpnd(NextHead(a,BADADDR),0),
GetOpnd(NextHead(a,BADADDR),1), atoa(NextHead(NextHead(a,BADADDR),BADADDR)),
GetMnem(NextHead(NextHead(a,BADADDR),BADADDR)),
GetOpnd(NextHead(NextHead(a,BADADDR),BADADDR),0));

86
a=NextHead(a,BADADDR);
}
}
Результат его работы может быть следующим (в данном примере использовался файл first.exe –см. главу «Первые шаги с IDA Pro»)
>004010C0 call ostream::opfx(void)
>004010C5 test eax,eax
>004010C7 jz loc_4010E0
>---------------------------
>0040111F call ios::ios(void)
>00401124 test [esp+4+arg_0],1
>00401129 jz loc_401132
>---------------------------
>004011BE call ios::ios(void)
>004011C3 test [esp+4+arg_0],1
>004011C8 jz loc_4011D1
>---------------------------
Две функции NextHead и PrevHead обеспечивают прямую (от младших адресов к страшим) и обратную (от старших к младшим) трассировку элементов, возвращая линейный адрес головы следующего элемента или значение BADADDR если достигнут последний элемент в цепочке.
Это позволяет рассматривать анализируемый код не как поток бессвязных байт, а упорядоченную последовательность инструкций и данных. Разница между ними заключается в том, что поиск байт из интервала 0x70-0x7F в первом случае обнаружит не только все условные переходы, но и множество других инструкций и данных, частью которых является ячейка с таким значением, например, “DW 6675h”; “MOV AX, 74h”; напротив, во втором случае можно быть уверенным, что анализируется именно начало инструкции, а не нечто иное.
Разбивка потока байт на элементы позволяет решить и другую задачу – определить какой именно инструкции (или данным) принадлежит такой-то линейный адрес, т.е. по линейному адресу ячейки определить адрес головы элемента, которому эта ячейка принадлежит.
Манипулируя с флагами узнать это достаточно просто – достаточно проанализировать старшие 12 бит хвостовых атрибутов – флаги, расположенные по четному линейному адресу – содержат количество оставшихся байт до конца элемента, а флаги расположенные по нечетному линейному адресу – до его начала.
Реализация функции, возвращающей адрес головы элемента по любому принадлежащему элементу адресу может выглядеть так:
#include static MyGetHead(ea)
{ auto off,F;
F=GetFlags(ea); if (!F) return -1;
//Адрес не принадлежит ни одной ячейке if (!(F & FF_TAIL))
//Это голова, возвращает ее адрес return ea; if (ea & 1)
// ...нечетный линейный адрес return (ea - (F >> 20));

87
// ...четный линейный адрес return MyGetHead(ea-1);
}
Недостатком такого подхода является его потенциальная несовместимость с последующими версиями IDA Pro, но обойтись для решения проблемы одними лишь высокоуровневыми функциями, встроенными в IDA, не получается.
Задача могла бы быть решена при помощи вызовов функций ItemSize и ItemEnd, предназначенных для вычисления длины и адреса конца элемента соответственно, очевидно, адрес начала элемента равен ItemEnd(ea) – ItemSize(ea), но ItemSize возвращает не размер элемента, а смещение до его конца!
Ниже приведен другой вариант реализации функции MyGetItemHeadEA, вместо низкоуровневых манипуляций с флагами, использующий вызов PrevHead, однако, полностью отказаться от обращений к флагам не удается – приходится вызывать макрос
isTail, определенный в файле <idc.idc> для проверки не является ли переданный адрес адресом головы элемента. static MyGetItemHeadEA(ea)
{ if (!GetFlags(ea)) return –1; // ошибка if (!isTail(GetFlags(ea))
// голова return ea; return PrevHead(ea,0);
}
Пара функций NextNotTail и PrevNotTail возвращают адрес следующего
(предыдущего) элемента или бестипового байта. В полностью дизассемблированной программе не должно быть ни одного бестипового байта, но они могут присутствовать на промежуточной стадии анализа – все ячейки, на которые IDA не смогла распознать ни одной ссылки, она оставляет бестиповыми байтами, которые надлежит перевести в элементы кода или данных пользователю.
Сводная таблица функций
функции, возвращающие основные характеристики элементов
имя функции краткое описание long ItemSize (long ea) возвращает расстояние до конца элемента
(не его размер!) long ItemEnd (long ea) возвращает значение на единицу превышающее линейный адрес конца элемента
функции трассировки элементов
имя функции краткое описание long NextHead (long ea) long NextHead (long ea, long maxea) возвращает линейный адрес следующей головы элемента long PrevHead (long ea) long PrevHead (long ea, long minea) возвращает линейный адрес предыдущей головы элемента long NextNotTail (long ea) возвращает линейный адрес следующей головы элемента или неопределенного байта long PrevNotTail (long ea) возвращает линейный адрес предыдущей головы элемента или неопределенного байта

88
long ItemSize(long ea)
В контекстной помощи IDA сообщается, что эта функция определяет размер элемента, как и следует из ее названия. На самом же деле она возвращает расстояние в байтах до конца элемента, что доказывает следующий эксперимент: seg000:0000 aHelloIdaPro db 'Hello,IDA Pro!' seg000:000E a1234 db '1234' a) исходные данные auto a,b; a=SegByName("seg000"); for(b=0;b<0x12;b++)
Message(">ea:%X -%c-> %d\n",a+b,Byte(a+b),ItemSize(a+b)); b) скрипт, последовательно передающий функции различные адреса от начала объекта
>ea:1000 -H-> 14
>ea:1001 -e-> 13
>ea:1002 -l-> 12
>ea:1003 -l-> 11
>ea:1004 -o-> 10
>ea:1005 -,-> 9
>ea:1006 -I-> 8
>ea:1007 -D-> 7
>ea:1008 -A-> 6
>ea:1009 - -> 5
>ea:100A -P-> 4
>ea:100B -r-> 3
>ea:100C -o-> 2
>ea:100D -!-> 1
>ea:100E -1-> 4
>ea:100F -2-> 3
>ea:1010 -3-> 2
>ea:1011 -4-> 1 c) результат: функция ItemSize возвращает расстояние до конца объекта в байтах
Минимальное значение, возвращаемое функцией, равно единице. Это же значение возвращается при возникновении ошибки – если функции передать адрес, не принадлежащий ни одному элементу.
Альтернативная реализация функции ItemSize содержится в файле “kpnc.idc”, находящимся на диске, прилагаемом к этой книге. Ее исходный код приведен ниже (см.
MyGetItemSize) static MyGetItemHeadEA(ea)
{ if (GetFlags(ea) & FF_DATA) // голова return ea; if (GetFlags(ea) & FF_TAIL) // хвост return PrevHead(ea,0);
// если не голова и не хвост - ошибка return -1;
}

89
static MyGetItemSize(ea)
{ if (GetFlags(ea) & MS_CLS) // элемент? return ItemEnd(ea) - MyGetItemHeadEA(ea); return
-1;
}
Пример использования: seg000:0000 aHelloIdaPro db 'Hello,IDA Pro!' seg000:000E a1234 db '1234' a) исходные данные auto a,b; a=SegByName("seg000"); for(b=0;b<0x12;b++)
Message(">ea:%X -%c-> %d\n",a+b,Byte(a+b),MyGetItemSize(a+b)); b) скрипт, последовательно передающий функции MyGetItemSize различные адреса от начала объекта
Замечание: перед исполнением скрипта файл “kpnc.idc” должен быть загружен в
память. Это можно осуществить нажатием клавиши
>ea:1000 -H-> 15
>ea:1001 -e-> 15
>ea:1002 -l-> 15
>ea:1003 -l-> 15
>ea:1004 -o-> 15
>ea:1005 -,-> 15
>ea:1006 -I-> 15
>ea:1007 -D-> 15
>ea:1008 -A-> 15
>ea:1009 - -> 15
>ea:100A -P-> 15
>ea:100B -r-> 15
>ea:100C -o-> 15
>ea:100D -!-> 15
>ea:100E -1-> 5
>ea:100F -2-> 5
>ea:1010 -3-> 5
>ea:1011 -4-> 5 c) результат – корректное выполнение функции
??? #Верстальщику – Change Table аргумент пояснение ea линейный адрес, принадлежащий элементу
=return Пояснения
!=0 расстояние до конца элемента в байтах (не его размер!) return
==1 ошибка
Родственные функции: нет

90
Интерактивный аналог: нет long ItemEnd(long ea)
Функция возвращает значение на единицу превышающее линейный адрес конца элемента, заданного линейным адресом ea.
Если переданный адрес не принадлежит ни одному сегменту, функция возвратит единицу, сигнализируя об ошибке.
Замечание: если по указанному адресу расположен бестиповой байт (т.е.
переданный адрес не принадлежит ни одному элементу), функция возвратит не
ошибку, а линейный адрес следующей ячейки.
Пример использования: seg000:0000 aHelloIdaPro db 'Hello,IDA Pro!' seg000:000E a1234 db '1234' a) исходные данные
Message(“>%s\n”,atoa(ItemEnd(SegByName(“seg000”)))); b) вызываем функцию ItemEnd, передавая ей адрес, принадлежащий элементу
“Hello, IDA Pro!”.
>seg000:000E c) результат – функция вернула значение, на единицу превышающее адрес конца данного элемента
??? #Верстальщику Change Table аргумент пояснение ea линейный адрес, принадлежащий элементу или бестиповому байту return
=return пояснения
!=1 значение на единицу превышающее линейный адрес конца элемента
==1 ошибка
Родственные функции: нет
Интерактивный аналог: нет long NextHead(long ea)
(версия IDA 3.85 и младше)
Возвращает линейный адрес головы следующего элемента, в противном случае –
BADADDR, сигнализируя об ошибке. Переданный функции линейный адрес ea не обязательно должен принадлежать какому-то элементу – он может даже вообще не существовать.
Пример использования: seg000:0000 aHelloIdaPro db 'Hello,IDA Pro!' seg000:000E a1234 db '1234' a) исходные данные

91
Message(“>%s\n”,atoa(NextHead(SegByName(“seg000”)))); b) вызываем функцию NextHead, передавая ей адрес, принадлежащий элементу
“Hello, IDA Pro!”.
>seg000:000E c) результат – функция вернула адрес головы следующего элемента.
Другой пример использования функции NextHead приведен в файле