суббота, 24 декабря 2011 г.

обращаю внимание

цена на годовую подписку для частных лиц снижена до 1399р, пора покупать

UPD: эта была рожденственская скидка, но действует до конца января

воскресенье, 18 декабря 2011 г.

советы читателей: hiew under wine(Ubuntu 10.10)

(Ivan Gorinov)

Использую команду такого вида: wineconsole --backend=user ~/hiew/hiew32.exe
Z:/boot/vmlinuz-2.6.35-31-generic
Настройки консоли Wine: Font "Andale Mono", Size=22.

Единственное "неудобство в мелочах": если указанное в командной строке имя файла начинается с "/", этот первый символ приходится заменять на "\\" или "Z:/".

Нашел, почему не разбирался hiew8.ini - при копировании WinSCP заменяет в текстовых файлах CR/LF на LF. Заменил обратно, все OK.

четверг, 15 декабря 2011 г.

simd префиксы, непорядковый порядок

у меня исторически порядок SIMD-префиксов в таблицах: 66 - F2 - F3, у интела: 66 - F3 - F2, до внезапного появления VEX.PP никто никого не беспокоил, а теперь надо делать либо правильно и муторно (переставлять строчки во всех табличках) либо быстро и потенциально глючно (добавить функцию туда-сюда трансляции индексов для F2/F3)

пятница, 9 декабря 2011 г.

версия 8.21


- показ списка PE ресурсов (F8-F12)
- hiew8.ini сначала ищется в текущем каталоге
- FIX: немного исправлений в (диз)ассемблере
- FIX: некоторые искуственно сделанные PE
- FIX: игнорируется goto -1

среда, 7 декабря 2011 г.

и куда четвертый операнд

а у меня так красиво 3 операнда в 32 битах кодировались, по 11 бит на операнд,
и опять легкое решение сделать qword для описания операндов не наш случай

четверг, 1 декабря 2011 г.

ни в какие таблицы

команды avx имеют те же байты опкода что и sse, но в мнемонику подставили букву V (что провоцирует на всякие глупые трюки) и изменили операнды, вкупе с нехваткой битиков для флагов это сводит на нет возможность положить новые опкоды в старые таблицы.

среда, 23 ноября 2011 г.

спрашивали - отвечаю: тип лицензии

никак не влияет на срок работоспособности самого exe, работоспособность в любом случае вечная, никаких проверок даты и окошек 'больше не работаю, срок лицензии истек' нет.

Тип лицензии влияет только на наличие и продолжительность бесплатных обновлений, ну и еще на скидки.

пятница, 18 ноября 2011 г.

добавить новые флаги для AVX, а некуда

в таблицах дизассемблера не хватает места для всяких новых битиков, напр. VEX.L игнорируется, или W может быть только в 1.

самый простой вариант - увеличить битики до 64 не рассматривается, это не наш путь.

воскресенье, 13 ноября 2011 г.

второй монитор наверх

Для меня удобнее всего если второй монитор расположен сверху основного. Смотрел много кронштейнов для монитора чтобы крепился к краю стола и центр крепления VESA был на высоте 600мм и на растоянии от края стола 500мм, нашел только один, теоретически подходящий - Buro BU-111-9B (или -9S).



Только даже в тех интернет-магазинах где есть цена и написано 'в наличии' при попытке купить наличие исчезает или превращается 'под заказ'. Какой 'под заказ' если кронштейн уже 2 года не производится и производиться больше не будет (ответ самого производителя).

Может быть в чьем-то городе в каком-то магазине пылится последний непроданный экземпляр ? Покупку-пересылку естественно оплачиваю.

четверг, 27 октября 2011 г.

я не знал этого: многофайловый поиск

в поиске (F7) клавиша F4 переключает не только поиск по всему файлу (File) либо по блоку (Block) но и по файлам командной строки (Arg), если конечно таковые были заданы

суббота, 22 октября 2011 г.

я не знал этого: много файлов в командной строке

в командной строке можно задавать список файлов используя маску

напр.: hiew32 /s *.exe *.dll  - все .exe и .dll в текущем каталоге и подкаталогах

список файлов можно посмотреть по Ctrl-F9, 
Ctrl-F11 - предыдущий файл из списка, Ctrl-F12 - следующий

пятница, 14 октября 2011 г.

avx & C5 opcode

понимаю откуда в AVX появился инверт битов опкода (мой горрряяячий привет тому кто эту хренотень придумал), но не понимаю зачем делать еще и короткую (2байта) форму VEX, паровозов типа 66 0F 38 XX больше не будет ? ну и оставили бы С5 для следующих расширений, пригодился бы ведь наверняка

понедельник, 3 октября 2011 г.

пятница, 23 сентября 2011 г.

Дайте примеры необычных PE ресурсов

Опять спросили когда PeVerify будет проверять ресурсы.
А я не знаю что там можно проверять, кроме того что под win9x номер не может быть больше 32767
Если есть у кого-нибудь примеры необычных построений ресурсов - присылайте

вторник, 20 сентября 2011 г.

Жив, курилка ! или история одного почти отката исправления.

В версии 8.14 вывод на экран был сделан через юниковскую функцию (победа над исчезновением символа 0D в некоторых фонтах), под win9x проверять не стал ибо уже раритет.
Раздал 8.14 и буквально сразу пришло письмо что новая версия не грузиться, т.е. вообще, т.е. черный экран при загрузке и дальше никак,  версию windows не указали, и пока не пришло второе подобное сообщение от другого пользователя с указанием  того что это происходит под win9x причины не понимал.
Оказывается, некоторые исследователи еще используют сей раритет, который ну очень лимитировано поддерживает юникодовские функции.
Поэтому в версии 8.15 пришлось сделать две ветки вывода на экран.

Вот что скрывается под строчкой: FIX(8.14) юникодовские функции используются только для winnt

пятница, 16 сентября 2011 г.

версия 8.15 - рассылка завершена

- FIX(8.14) юникодовские функции используются только для winnt
- FIX: немного исправлений в 64bit дизассемблере
- FIX: случайный креш на Ctrl-F7 в Crypto
- FIX: потеряны import name для PE с базой выше 0x7FFFFFFF
- ini-file: "wow64Disable = On/Off"

среда, 14 сентября 2011 г.

в связи с предыдущим сообщением и текущей рассылкой

если Ваш почтовый ящик на @mail.ru либо @inbox.ru сообщите альтернативный адрес через eugenys@gmail.com


Update 16.09: конечно же, никто ничего не прислал.
Если до следующей рассылки ситуация с @mail/inbox не изменится, Undelivered Mail от них автоматически выставит битик 'Mail Error'  и блокируюет рассылку.

воскресенье, 11 сентября 2011 г.

запасной e-mail

больше месяца @mail.ru не принимает (как оказалось и не отправляет) письма от @kemtel.ru (на этом же почтовом серевере еще много кого) и при этом не отвечает на письма местных (ростелекомовских) администраторов.

запасной e-mail: eugenys@gmail.com

пятница, 9 сентября 2011 г.

понедельник, 5 сентября 2011 г.

зачем анонс готовности версии

в том числе и затем чтобы о новой версии знали планирующие покупку single,
у них обновлений нет, а купить предыдущую версию за день-два до появления новой немного обидно.

пятница, 2 сентября 2011 г.

четверг, 1 сентября 2011 г.

Второй сезон.

Да-да, лето закончилось, пора за клавиатуру.


В новом сезоне не будет ежемесячных опросов, поскольку количество отвечающих мало, а количество интересующихся результатами в разы выше.

март: голосовало - 23, смотрели тему -  170
апрель: 26 к 288
май: 19 к 200


среда, 1 июня 2011 г.

опрос мая: итого

использование ассемблера

никогда не пользуюсь  2 (10%)
использую только в crypt  2 (10%)
использую весьма ограниченный набор, 
не более десятка самых распространенных команд  9 (47%)
использую достаточное количество общих команд  3 (15%)
использую и общие команды и команды для плавающей точки  1 (5%)
использую большой набор из всего что есть включая sse  2 (10%)

количество проголосовавших: 19

четверг, 26 мая 2011 г.

читать итоги это не мышкой в кружочек тыкать


которую неделю самое популярное это итоги предыдущих голосований

опрос апреля: проголосовавших: 26, просмотров: 94
опрос марта:  проголосовавших: 23, просмотров: 88

опрос мая:  - количество проголосовавших на текущий момент: 16

среда, 25 мая 2011 г.

я не знал этого: code highlight

если в режиме кода надо выделить часть команды (например стековую переменную [ebp][8]) используйте Alt-L

пятница, 20 мая 2011 г.

воскресенье, 15 мая 2011 г.

я не знал этого: 8.14 может отключать редирект %windir%\System32 под Windows 64bits


В 64битных системах для 32битных приложений %windir%\System32 редиректится системой в SysWOW64 (статья из MSDN, англ.), из-за чего hiew не видит никак 64битных DLL в %windir%\System32.

Если все-таки требуется видеть и открывать 64битные DLL из %windir%\System32 то в ini-файле пропишите строку: wow64Disable = On

Все последствия такого шага ложатся на Вас.

суббота, 14 мая 2011 г.

ну ни на кого нельзя положиться

новость о выходе 8.14 должна была быть еще вчера, но google не пускал ничего писать в блог

added(15 May): а еще этот (вписатьэпитетповкусуиспорченности) google потерял последние комментарии и не торопится их восстанавливать, а я его еще в пример правильности бэкапов ставил.

проверяем почтовые ящики, рассылка версии 8.14 завершена


- FIX: символ 0x0D пропадал для Consolas font
- FIX: некоторые случаи PE overlay
- FIX: мусор в PE заголовке меньше номинального размера
- FIX: 64bits: r9d-r15d base/index регистры не отображались
- FIX: команда crypt xchg опять корректно работает
- FIX: буквы ё,Ё не разрывают unicode-строку в Alt-F6
- ini-file: "PackInt3 = On/Off"

пятница, 6 мая 2011 г.

версия 8.14 планируется к рассылке на следующей неделе


Как обычно, зарегистрированные пользователи, у которых срок обновлений не истек и желающие получить ее первыми - пишите на sen@kemtel.ru с темой 'get first hiew 8.14' до вторника. Любые другие темы в заголовке будут игнорированы для включения в first-list.

воскресенье, 1 мая 2011 г.

опрос апреля: итого


Первая версия hiew была написана 20 лет назад.
А сколько лет Вы пользуетесь hiew ?

менее года             4 (15%)
1-3 года               0 (0%)
4-5 лет                5 (19%) 
6-10 лет               4 (15%) 
11-15 лет              7 (26%) 
более 15 лет           6 (23%) 
все 20 лет и пользуюсь 0 (0%)

Количество проголосовавших: 26

понедельник, 18 апреля 2011 г.

я не знал этого: переключение между режимами отображения

Text-Hex-Code быстро делается через клавишу Enter, а точно в нужный режим можно попасть через меню F4, причем F4-F4 то же что и Enter.

среда, 13 апреля 2011 г.

самая древняя версия hiew

которая есть в моих архивах - 2.51,
имя - hv.exe, дата exe - 6 декабря 1991, размер - 21446 байта
может у кого есть еще древнее ?

понедельник, 11 апреля 2011 г.

20 лет назад

Про то что точной даты первой версии hiew не сохранилось это я поторопился. Надо было посмотреть в сопроводительный файл древней версии, итак:

Первая публичная версия hiew появилась 11 апреля 1991 года и имела версию 1.1

пятница, 8 апреля 2011 г.

воскресенье, 3 апреля 2011 г.

Hiew через PyHiew теперь может смотреть и редактировать память процесса

Elias продолжает наращивать мощь своего плагина PyHiew и расширять функциональность Hiew. Теперь есть скрипт fsPlus позволяющий Hiew работать с памятью процесса.

Подробности - в блоге Elias, обновления - там же, либо на странице Hem

суббота, 2 апреля 2011 г.

(non-russian) 20 Years of Hiew = 20% discount


The first version of hiew has been released 20 years ago, April 1991.

all April 20% discount for Hiew !

(exUSSR) скидка 20% в честь 20-летия

Да-да, первая версия hiew была написана 20 лет назад, в апреле 1991 года. Точной даты, увы, не сохранилось.

В честь 20-летия весь апрель 20% скидка на годовую версию!



пятница, 1 апреля 2011 г.

опрос марта: итого

нужна ли 64-битная версия ?


не особо, и 32-битная работает             9 (39%)
да, если она будет бесплатной в рамках 
                  действующей лицензии    12 (52%)
да, и даже за новые деньги                 2 (8%)

Количество проголосовавших: 23

четверг, 24 марта 2011 г.

Autouninstall для автообновления


При автообновлении теоретически пользователь всегда имеет последнюю версию программы, не утруждая себя сверкой версий, чтением 'что нового', скачиванием и переустановкой. И не важно что новая версия не всегда только исправляет ошибки и расширяет функциональность.
Приемлимо если при инсталяции программы дают снять галочки с пунктов 'проверять новые версии' и 'автоматичеки обновляться', но не понимаю когда при установке такого выбора нет, а модуль обновления засовывают в автозагрузку системы, причем если его оттуда удалить,  программа при старте затолкает свое гав автообновление обратно.
Uninstall не раздумывая.

пятница, 18 марта 2011 г.

понедельник, 14 марта 2011 г.

Срипт PEiD для плагина PyHiew

Elias Bachaalany устал запускать внешний exe для определения чем упакована программа, и к своему PyHiew написал скрипт для подобного детектирования. 
Подробности в его блоге. Обновленный PyHiew там же, либо на странице hem.

понедельник, 7 марта 2011 г.

обновление ShellExt v3

Michal Hanebach обновил маленький cmd-файл ShellExt, который добавляет/убирает пункт 'Open with Hiew' в explorer context menu.

суббота, 5 марта 2011 г.

я не знал этого: дизассемблер с любого байта

Бывает так что меркнет свет, что начало нужной инструкции прочно засело внутри другой.

Поставьте курсор на первый байт нужной инструкции и нажмите  /  (слеш), код на экране начнется с байта под курсором.

вторник, 1 марта 2011 г.

опрос февраля: итого


как часто читаете/просматриваете этот блог ?

  • я подписан на сообщения      6 (30%)
  • каждый день  3 (15%)
  • через день  1 (5%)
  • пару раз в неделю  3 (15%)
  • раз в неделю  1 (5%)
  • 2-3 раза в месяц  0 (0%)
  • как попало  1 (5%)
  • я сюда вообще случайно зашел 5 (25%)

Количество проголосовавших: 20

четверг, 24 февраля 2011 г.

я не знал этого: вы же не думаете что про значения под курсором уже было сказано все ? а калькулятор ?

А в калькуляторе при вычислениях можно задавать значение под курсором как:
  • @b - signed char
  • @B - unsigned char (BYTE)
  • @w - signed short
  • @W - unsigned short (WORD)
  • @d - signed long
  • @D - unsigned long (DWORD)
  • @q - signed int64
  • @Q - unsigned int64 (QWORD)
напр.: 
@w = просто отобразит значение слова под курсором в различных видах
@b * 255 = а можно и в вычислениях применять

понедельник, 21 февраля 2011 г.

я не знал этого: (без)знаковое отображение imm8

В опкодах где непосредственное значение imm8 представлено байтом которое требует расширения до знака, возможно задать знаковое/безнаковое отображение через строку в ini-файле:
SignImmediate = Off ( как беззнаковое, 83E0EF  and eax,0ef )
SignImmediate = On ( как знаковое, 83E0EF  and eax,-011 )
Cмену отображения можно проделать и 'на ходу' через комбинацию Alt-I

четверг, 17 февраля 2011 г.

а ведь какая была идея..


DLL - хорошая идея, один и тот же код используют множество программ.Экономится память (что почти важно до сих пор), место на диске (уже почти не важно), исправление ошибок и новые версии не требуют перекомпиляции собственно программ.

Но наступает минута когда театр уходит от нас навсегда разным программам (или даже разным версиям одной и той же) требуются разные версии dll, но с одним и тем же именем. И самое грустное то, что при этом программа ничего не может сказать о неподходящей dll, и тут-то возникают мелкие и разные баги.

среда, 16 февраля 2011 г.

я не знал этого: в продолжение темы переходы под курсором

Shift-F9 (hex,code) еще одна комбинация, облегчающая навигацию по файлу.
Показывает список вместе с адресами, полезна для всяческих списков адресов.

Имеет несколько вариантов перехода (выхода из списка):
Enter - переход по адресу в списке, текущий режим (hex,code) сохраняется
Ctrl-Enter - тот же переход, но текущий режим меняется с hex на codecode на hex)
Backspace - выход на адрес адреса, тот который в колонке слева
Escape - выход из списка без изменения текущего адреса

пятница, 11 февраля 2011 г.

я не знал этого: посмотреть версию HEM

можно в hiew через F11 + F6 на нужном модуле.

в кулацком хозяйстве все пригодится

Давно вычитал о том что windows позволяет даже в пользовательском режиме запросто контролировать запуск процессов.
И чесались у меня руки эту штуку задействовать, но не к чему было ее приложить.
А тут понадобилось узнать параметры запускаемого процесса который стартует из-под другого процесса и быстро-быстро завершается.

понедельник, 7 февраля 2011 г.

не ставьте прямых ссылок

на конкретные версии файлов в статьях, блогах, новостях, на форумах, и пр., народ тычет на них не глядя

натыкано за январь

пятница, 4 февраля 2011 г.

я не знал этого: таблица строк PE-ресурсов

Показывается по комбинации F8 - AltF6 в режимах Hex и Code.
Можно применить фильтр (F9) для показа только необходимых строк.

А еще можно попытаться найти ссылку на загрузку строки: Ctrl-Enter.
Фокус в том что ResourceID нужной строки как правило помещается в стек, а следовательно, ловится через банальный поиск push resId. Но очевидно что если resId будет очень маленьким то это ничего не даст. И вторая сложность поиска в том что собственно загрузка строки из ресурсов будет где-то сильно ниже через несколько call.

среда, 2 февраля 2011 г.

PeVerify.hem обновлен до версии 0.39

PeVerify - это верификатор корректности структур PE-файла, таких как stub, header, sections table, directory table, import. Помогает понять почему файл не запускается (c:\xyz.exe is not a valid Win32 application).

наверное, все-таки правильнее будет здесь поставить ссылку на страницу HEM, чем на конкретную версию модуля

вторник, 1 февраля 2011 г.

новый тип лицензии для exUSSR - hiew single

С 1го февраля 2011 года появился новый тип лицензии для exUSSR:


Только одна версия, нет бесплатных обновлений, нет скидок при повторных покупках

Цена для физических лиц - 349 руб (*)
Цена для юридических лиц - 999 руб (*)



Страница покупки на Allsoft: 
http://allsoft.ru/referal_reg.php?id=301

(*) цена гарантирована до 1 марта 2011, в дальнейшем текущую цену см. на странице покупки


опрос января: итого


добавить в hiew поддержку AVX ?

  • а что это ?               19 (50%) 
  • не надо, это лишнее        0 (0%)
  • может быть, пусть будет   15 (39%) 
  • обязательно                4 (10%)

Количество проголосовавших: 38

четверг, 27 января 2011 г.

я не знал этого: таблица символов и цвета


Alt-F8 (в текстовом режиме можно F8) - F9 и можно посмотреть какому байту какие символы соответствуют


со времен dos осталось, что на нижней рамке отображается цвет для текущего байта (на рисунке 70h - черное на белом), перемещаться как обычно стрелочками вверх-вниз-вправо-влево.

воскресенье, 23 января 2011 г.

Luicida Console фонт и проблема знакоместа 0D


несколько человек написали про одну и ту же проблему:
если в win7 выставлен фонт Luicida Console, то в hiew не отображаются символы 0D,0A, то есть их вообще нет, нет знакоместа как такового, но если курсор стоит конкретно на этом символе - он возникает ниоткуда, во как!
на той win7 что есть у меня (пустая pro32 под vm) это не воспроизводится, подозреваю какое-то сочетание консольной ansi-программы и конкретного truetype фонта.
как исправить - не знаю тоже, кроме как сменить фонт.

если кто что может подсказать - пишите в комментариях либо на e-mail.

update: одна из присланных картинок:

четверг, 20 января 2011 г.

я не знал этого: ассемблер и выбор из нескольких вариантов

кнопка F4 в окошке ассемблера включает возможность выбора целевой инструкции если есть несколько вариантов, например:


после ввода предлагаются подходящие варианты

четверг, 13 января 2011 г.

Чапай должен уметь думать, а не просто шашкой махать

опросы читателей не развлекают, тогда может быть они захотят потрещать мозгами после долгих выходных.

предлагается задачка: программа не корректно работает с образами .iso размером более 2Г

понедельник, 10 января 2011 г.

я не знал этого: еще переход под курсором

комбинация Shift-F11 в режиме Hex добавляет к текущему смещению значение под курсором на выбор: byte, word, dword, которые могут быть как little- так и big-endian

если не совсем понятно, читать подробнее

среда, 5 января 2011 г.

если хотели что-то изменить в файле по F3, а увидели


 а затем



это значит что файл занят другой программой (или файл - сам процесс и сейчас запущен и находится в памяти).

чтобы избавиться от Sharing violation надо закрыть этот самый файл в другой программе (или завершить процесс).

воскресенье, 2 января 2011 г.

Опрос как информация к размышлению

раз движок блога позволяет проводить опросы так воспользуюсь этим.

разумеется, это не значит что спрашивая, например, 'делать ли GUI ?' и получая 102% ответов ДА! (и при этом каждый проголосуют минимум по 4 раза), все брошу и буду рисовать GUI, нет конечно :)

надеюсь, результаты опроса будут более-менее точной информацией о мнениях читателей.