...четный линейный адрес

return MyGetHead(ea-1);

Недостатком такого подхода является его потенциальная несовместимость с последующими версиями IDA Pro, но обойтись для решения проблемы одними лишь высокоуровневыми функциями, встроенными в IDA, не получается.

Задача могла бы быть решена при помощи вызовов функций ItemSize и ItemEnd, предназначенных для вычисления длины и адреса конца элемента соответственно, очевидно, адрес начала элемента равен ItemEnd(ea) - ItemSize(ea), но ItemSize возвращает не размер элемента, а смещение до его конца!

Ниже приведен другой вариант реализации функции MyGetItemHeadEA, вместо низкоуровневых манипуляций с флагами, использующий вызов PrevHead, однако, полностью отказаться от обращений к флагам не удается - приходится вызывать макрос isTail, определенный в файле <idc.idc> для проверки не является ли переданный адрес адресом головы элемента.

static MyGetltemHeadE(ea)

if (!GetFlags(ea)) return -1; ошибка

if (!isTail(GetFlags(ea)

return ea; return PrevHead(ea,0);

голова

Пара функций NextNotTail и PrevNotTail возвращают адрес следующего (предыдущего) элемента или бестипового байта. В полностью дизассемблированной программе не должно быть ни одного бестипового байта, но они могут присутствовать на промежуточной стадии анализа - все ячейки, на которые IDA не смогла распознать ни одной ссылки, она оставляет бестиповыми байтами, которые надлежит перевести в элементы кода или данных пользователю.

Сводная таблица функций

long ItemSize(long ea)

В контекстной помощи IDA сообщается, что эта функция определяет размер элемента, как и следует из ее названия. На самом же деле она возвращает расстояние в байтах до конца элемента, что доказывает следующий эксперимент:

seg000:0000 aHelloldaPro db Hello,IDA Pro! seg000:000E a1234 db 1234

a) исходные данные

auto a,b;

a=SegByName("seg000"); for(b=0;b<0x12;b++)

Message(">ea:%X -%c-> %d\n",a+b,Byte(a+b),ItemSize(a+b));

b) скрипт, последовательно передающий функции различные адреса от начала объекта

c) результат: функция ItemSize возвращает расстояние до конца объекта в байтах

Минимальное значение, возвращаемое функцией, равно единице. Это же значение возвращается при возникновении ошибки - если функции передать адрес, не принадлежащий ни одному элементу.

Альтернативная реализация функции ItemSize содержится в файле "kpnc.idc", находящимся на диске, прилагаемом к этой книге. Ее исходный код приведен ниже (см. MyGetItemSize)

static MyGetItemHeadEA(ea)

if (GetFlags(ea) & FF DAT) голова

return ea; if (GetFlags(ea) & FF TAIL) хвост return PrevHead(ea,0);

если не голова и не хвост - ошибка

return -1;

static yGetItemSize(ea)

if (GetFlags(ea) & MS CLS) элемент? return ItemEnd(ea) - MyGetltemHeadE(ea)

return -1;

Пример использования:

seg000:0000 aHelloldaPro seg000:000E a1234 a) исходные данные

db Hello,IDA Pro! db 1234

auto a,b;

a=SegByName("seg000");

for(b=0;b<0x12;b++)

Message(">ea:%X -%c-> %d\n",a+b,Byte(a+b),MyGetItemSize(a+b));

b) скрипт, последовательно передающий функции MyGetItemSize различные адреса от начала объекта

Замечание: перед исполнением скрипта файл "kpnc.idc" должен быть загружен в память. Это можно осуществить нажатием клавиши <F2>

c) результат - корректное выполнение функции ??? #Верстальщику - Change Table

Родственные функции: нет