Как извлечь автоматический комментарий для этих элементов данных в IDA?


0

Так я вижу это много в базе данных МАР:

; wchar_t off_BADF00D 
off_BADF00D  dd offset loc_6F0062 
       dd offset loc_740074 
       dd offset loc_6D006E+1 
       align 10h 

Так дал комментарий в верхнем IDA знает из ссылки на код, что это должно быть нулем строкой широких символов.

Я подумывал написать простой скрипт IDAPython, чтобы найти экземпляры этого и принудительно преобразовать эти элементы в соответствующий тип данных.

Однако ни ;, ни : не показали ничего, поэтому это не является повторяемым или нормальным комментарием. Итак, что это такое и как я могу использовать IDAPython для его извлечения? Я также попробовал (подскажите здесь комментарий), если это передняя или задняя строка комментария. Это не так.

В качестве альтернативы, я также буду рад, если кто-нибудь сможет указать, как «вести» IDA, чтобы делать правильные вещи без сценариев, но это вызвало мое любопытство, поэтому только бонусные баллы за это. Мне все равно хотелось бы узнать, как получить комментарий.

  0

Это может быть комментарий «строка выше». Другие типы - один раз ':' и repeat ';' - появляются в конце первой строки кода или данных. 19 дек. 172017-12-19 20:48:52

  0

Спасибо, хорошая идея. Тем не менее, они не являются передними или задними линиями. Соответственно отредактирует мой вопрос. 19 дек. 172017-12-19 20:56:00

  0

Может ли это быть какой-то формой декларации? Объявление функции выглядит так же, как и в первой строке. Но это не функция, поэтому ... какой-то другой тип? 19 дек. 172017-12-19 21:26:57

  0

Вот мысль: вы можете узнать, что IDA внутренне называет это, если вы выберете эту часть кода и выгрузите ее как файл IDC (или, по крайней мере, я думаю, что это тот, у кого все перечисленные команды). 20 дек. 172017-12-20 18:51:37

1

Не могу сказать о python, но в IDC вы можете частично получить этот «комментарий» через GetType(ea). Я говорю частично, потому что он дает wchar_t[67] в качестве результата для комментария, такого как ; wchar_t aHttpSchemas_27[67].

  0

Удивительный, именно то, что я ищу в этом случае. И да, тип мне более интересен, чем это дало ему имя переменной IDA. 22 дек. 172017-12-22 19:33:00