адресу ea. Если указанный адрес не существует, функция возвращает 0хFF, сигнализируя об ошибке, такое же значение возвратится и в том случае если ячейка имеет не инициализированное значение.

Поэтому, до вызова функции Byte следует убедиться, что ячейка действительно существует и имеет определенное значение. Проверить это можно, проанализировав младший бит поля атрибутов, определенный в файле <idc.idc> константой FF INV, - если он не равен нулю, то все окей:

if (FF INV & GetFlags(ea))) value=Byte(ea);

else ячейка не существует или имеет неиницилизированное значение

В файле <idc.idc> определены два макроса hasValue(F) и isLoaded(ea), выполняющие такие проверки. Макрос hasValue(F) ожидает флаг виртуальной памяти, а isLoaded(ea) линейный адрес ячейки, т.е.:

if(hasValue(GetFlags(ea))) value=Byte(ea);

else ячейка не существует или имеет неиницилизированное значение

if(isLoaded(ea)) value=Byte(ea);

else ячейка не существует или имеет неиницилизированное значение

Альтернативой функции Byte служит вызов GetFlags с последующей маскировкой старших 24-бит, содержащих поле атрибутов. Маской может служить определенная в файле <idc.idc> константа MS VAL или непосредственное значение - 0xFF. Это может выглядеть так: value = (MS VAL & GetFlags(ea)).

Для увеличения производительности скрипта можно использовать макрос byteValue(F), определенный в файле <idc.idc>, передавая ему значение флагов, ранее полученное для выполнения проверки существования ячейки:"F=GetFlags(ea); if (hasValue(F)) value=byteValue(F); " - это позволяет избавиться от вызова функции Byte, экономя тем самым некоторое количество процессорного времени.

Замечание: если читаемые ячейки заведомо существуют и гарантированно содержат инициализированные значения, в дополнительных проверках никакой необходимости нет и использование макроса byteValue будет ничуть не быстрее вызова функции Byte

Пример использования:

a) исходные данные - требуется вывести на консоль содержимое отображаемых

ячеек памяти

auto a; Message(">");

for (a=0x10000;a<0x10011;a++)

Message("%c",Byte(a));

Message("\n");

b) последовательный вызов Byte для каждой ячейки

> Hello, IDA Pro!

c) результат

Другие примеры использования функции Byte можно найти в главе «Первые шаги с IDA Pro» и в файле "memcpy.idc", входящим в комплект поставки IDA.

??? #Верстальщику - change table

Родственные функции: Word, Dword Интерактивный аналог: нет

long Word (long ea)

Функция возвращает значение слова (одно слово равно двум байтам) виртуальной памяти, расположенного по адресу ea. При попытке чтения байта, расположенного по несуществующему адресу, равно как и имеющего неопределенное значение, функция возвращает значение 0xFF, сигнализируя об ошибке. Наглядно продемонстрировать работу функции позволяет следующий пример:

>6548

Message(">%X\n", Word (0x0)); >FFFF

Message(">%X\n", Word (0x10011));

>FF0A

Message(">%X\n", Word (0xFFFF));

>48FF

В первом случае существуют оба адреса (т.е. 0x10000 и 0x10001) и функция отрабатывает успешно; во втором - ни существует ни одного из них - ни 0x0, ни 0x1, в результате чего возвращается 0xFFFF.

Но попытка прочитать слово, расположенное по адресу 0x10011, приводит к тому, что в младшем байте возвращается значение соответствующей ячейки, а в старшем -0xFF! Аналогично и в последнем примере - несуществующий младший байт дает 0xFF, в то время как старший читается успешно.

Поэтому, до вызова функции Word следует убедиться, что обе ячейка действительно существуют и имеют определенные значение. Проверить это можно, проанализировав младший бит поля атрибутов каждой из ячеек - если он не равен нулю, то все окей. О том как это сделать подробно рассказано в описании функции Byte.

??? #верстальщику - change table

Родственные функции: Byte, Dword. Интерактивный аналог: нет

long Dword (long ea)

Функция возвращает значение двойного слова виртуальной памяти по указанному В остальном она полностью аналогична функции Word. ??? #верстальщику - change table

адресу.

Родственные функции: Byte, Word Интерактивный аналог: нет