INF FILETYPE

Это поле содержит короткое целое, хранящее тип дизассемблируемого файла. Видимо не используется IDA, поскольку может безболезненно модифицироваться произвольными значениями, что не нарушает работоспособности.

Так же следует учитывать, что в версии 3.84 функция возвращает неверные значения. Дело в том, что IDC.IDC не был изменен, тогда как были расширены типы файлов, начиная с середины таблицы, от чего все типы «посыпались».

MS-DOS exe файл стал определятся как программный файл PalmPilot, что хотя и не нарушало работоспособности IDA, но не позволяло определить тип текущего файла.

В IDC.IDC содержится ссылка на файл core.hpp. На самом деле это опечатка и нужно смотреть ida.hpp, входящий в IDA SDK. Там мы обнаружим прелюбопытную структуру, описывающую типы поддерживаемых файлов.

Сравнив ее с IDC.IDC можно обнаружить различие, которое показано ниже:

Что бы функция возвращала правильный результат, необходимо исключить тип FT USER и перенумеровать остаток списка.

Расшифровка всех значений приведена ниже:

Пример использования:

Message("%d \n", GetShortPrm(INF FILETYPE)

INF OSTYPE

Короткое целое хранящее тип операционной системы для загруженного файла (не среды запуска дизассемблера!)

Должна принимать следующие значения:

Да, именно должна, ибо MS-DOS файлы возвращают ноль, а не единицу и, следовательно, OSTYPE MSDOS не сработает. Пример использования:

Message("%d \n", GetShortPrm(INF OSTYPE)

INF APPTYPE

Короткое целое, содержащие информацию о типе дизассемблируемого приложения. Часть полей (APPT CONSOLE, APPT GRAPHIC, APPT 1THREAD, APPT MTHREAD) инициализируются FLIRT. Если исследуемой программе не соответствует ни одна библиотека сигнатур и FLIRT не сработал, то все вышеперечисленны поля будут содержать нулевые значения.

Тип приложения (EXE\DLL\DRIVER) не актуален для MS-DOS программ, как и разрядность (16 или 32 бит). В этом случае функция всегда возвращает нулевое значение.

Пример использования:

Message("%x \n", GetShortPrm(INF APPTYPE)

INF START SP

Длинное целое, содержащие значение регистра SP (ESP) при запуске программы. Для получения этой информации IDA читает соответствующие поля заголовка файла. В противном случае (например, для com или дампов памяти) она устанавливает SP на верхушку сегмента, то есть присваивает ему значение -1.

Для бинарных файлов и дампов памяти это оказывается не всегда справедливо (в самом деле, откуда IDA может знать значение указателя стека в каждом конкретном случае) Тогда рекомендуется установить требуемое значение вручную, функцией SetLongPrm.

Однако, обычно точное значение SP (ESP) не критично и в общем случае не влияет на правильность дизассемблирования кода.

Пример использования:

Message("%x \n", GetShortPrm(INF START SP)

ffff