«Операнды») будут изменять представление всех элементов массива одновременно, но никак не выборочно.

Поэтому, разумно объединять в массив данные лишь тогда, когда они имеют одинаковый тип, одинаковое представление и нет никакой необходимости в индивидуальной работе ни с одним элементом. В противном случае создание массива доставит больше неудобств, чем пользы.

Важно понять - массив в IDA Pro это один элемент, а не совокупность множества элементов другого типа.

Максимальная длина элемента ограничена четырьмя килобайтами - это связано с тем, что под хвостовые биты, содержащие смещения относительно начала (конца) элемента отведено 12 разрядов, отсюда и ограничение на длину.

Если требуется создать строку или массив большего размера, единственный выход - создать два (или более) массивов (строк), расположив их последовательно друг за другом.

Элемент данных может иметь тип align - указывающий, что эти байты используются для выравнивания кода (данных) по кратным адресам. Формально тип align -такой же точно тип как, например, слово или двойное слово, и с ним можно выполнять точно те же операции, что и над любым другим элементом данных. Единственное его отличие от состоит в том, что принадлежащие ему байты, в ассемблерный листинг не попадают:

seg000:0000 db 48h ; H seg000:0000 db 48h ; H

seg000:0001 db 65h ; e seg000:0001 align 2

seg000:0002 db 6Ch ; l seg000:0002 db 6Ch ; l

Элемент кода не имеет никаких типов, разрядность инструкций определяется разрядностью сегмента, а логика работы дизассемблера - типом выбранного процессора.

Элемент данных не может быть непосредственно преобразован в элемент кода и, соответственно, наоборот. Элемент кода может быть создан только из цепочки бестиповых байт достаточной длины.

Если после создания элемента кода, IDA может определить адрес следующей выполняемой инструкции, она автоматически пытается создать в соответствующем месте очередной элемент кода - так продолжается до тех пор, пока ей не встретится инструкция передающее управление по адресу, который IDA вычислить не в состоянии. Это может быть, например, регистровый переход, команда выхода из подпрограммы (прерывания) и т.д. Возможности создания одного элемента кода в IDA Pro нет.

Строго говоря, элементы кода и данных не являются неделимым целым - IDA Pro предоставляет возможность выборочной работы с их операндами (если они есть) - см. главу «Операнды».

Навигатор по функуциям

Группа функций MakeByte, MakeWord, MakeDword, MakeQword, MakeFloat, MakeDouble, MakePackedReal, MakeTbyte предназначена для преобразования цепочки бестиповых байт (или уже существующего элемента данных) в элемент данных типа байт, слово, двойное слово, четвертное слово, float, double, PackedReal и восьмерное слово соответственно.

Интерактивный аналог первый трех функций пункт "Data" меню "~Edi" (или «горячая клавиша "D"»>, циклично преобразующий тип элемента, находящегося под курсором в байт, слово и двойное слово. При необходимости в эту последовательность можно включить и другие типы данных, вызвав диалог "Setup data types" из меню "Options" («горячая клавиша - "Alt-D"»).

Функция MakeStr преобразует цепочку бестиповых байт в ASCII-строку заданной длины или попытается определить ее автоматически. Автоматически распознаются длины следующих типов строк- ASCIIZ-строк, заканчивающихся символом нуля; PASCAL-строк,

начинающихся с байта, содержащего длину строки и DELPHI-строк, начинающиеся со слова (двойного слова), содержащего длину строки. Если строка не принадлежит ни к одному из этих трех типов, концом строки считается:

a) первый нечитабельный ASCII-символ.

b) неинициализированный байт

c) голова элемента кода или данных

d) конец сегмента

Функция MakeArray создает массив состоящий из данных одного типа - байтов, слов, двойных слов, четверных слов, двойных слов в формате float, четверных слов в формате double, packed real, tbyte. Бестиповые байты могут стать частью массива любого типа. Строки не могут быть элементами никакого массива.

Тип массива определяется типом его первого элемента. Все остальные элементы массива на момент его создания должны быть представлены бестиповыми байтами, -последовательность типизированных данных не может быть преобразована в массив.

Элементы массива записываются в строку, отделяясь друг от друга знаком запятой. Если два или более подряд идущих элемента имеют одно и то же значение (в том числе и неинициализированное) для сокращения ассемблерного листинга используется конструкция "DUP".

Функция Align помещает в ассемблерный файл директиву выравнивания align и исключает из дизассемблируемого листинга байты, используемые для выравнивания.

Функция MakeCode создает по указанному адресу элемент кода, выполняя дизассемблирование первой машинной инструкции. Если это возможно, автоматически дизассемблируется и другие инструкции. Это происходит в следующих случаях:

a) текущая инструкция не изменяет нормального выполнения программы и за ее концом расположены бестиповые байты;

b) текущая инструкция изменяет нормальное выполнение программы, осуществляя переход по непосредственному адресу, тогда IDA продолжит дизассемблирование с этого адреса

Если встречается инструкция, изменяющая адрес перехода непредсказуемым образом (например, RET) IDA прекращает дизассемблирование.

Во время дизассемблирования IDA при необходимости создает перекрестные ссылки и автогенерируемые метки.

Функция MakeUnkn разрушает элемент, заданный любым принадлежащим ему адресом, превращая его содержимое в бестиповые байты. Объекты, связанные с элементом (например, метки, комментарии) при этом не уничтожаются.

Сводная таблица функций

success MakeByte(long ea)

Функция создает по переданному ей линейному адресу ea элемент данных типа

байт.

Если по данному адресу находится голова ранее созданного элемента данных, функция преобразует его в байт, а хвост элемента (если он есть) - в бестиповые байты.

Если по данному адресу находится хвост элемента данных, голова или хвост элемента кода, функция возвратит ошибку.

Наличие неинициализированных байт в создаваемом или преобразуемом элементе не является препятствием для выполнения этой функции.

Пример использования:

1.эксперимент

seg000:0000

a) исходные данные

db ? ; unexplored

Message(">%x\n",MakeByte(SegByName("seg000")));

b) вызываем функцию MakeByte для создания нового элемента данных типа байт, передавая ей адрес бестипового байта

seg000:0000 db ?

>1

c) результат - элемент данных типа байт успешно создан

Замечение: в ассемблерном листинге бестиповые байты помечаются комментарием "unexplored" (или ASCII кодом содержимого), сигнализирующим о неисследованости данной ячейки. В полностью дизассемблированной программе не должно остаться ни одного неисследованого байта - тип каждой ячейки должен быть задан явно.