Spørsmål:
IDA treg på ~ 70 MB kjørbar
MiJyn
2016-04-20 00:43:09 UTC
view on stackexchange narkive permalink

Jeg fikk IDA til å kjøre en ~ 70 MB kjørbar, og den har analysert den i omtrent 16 timer nå (fremdeles ikke ferdig, selv om den er over halvparten ferdig). Mens det er fremgang, er fremgangen veldig, veldig treg. På den annen side blir en 5MB-fil analysert i løpet av omtrent 5 minutter. Jeg husker at en 40 MB kjørbar fil tok omtrent 30-40 minutter å analysere, men dette er ingenting sammenlignet med> 16 timer.

Hopper tok omtrent 2 timer (og brukte 6 GB RAM!) For å analysere den samme filen, men det klarte å fullføre det. Etter å ha sett på demonteringen ser det ut til at den aktuelle kjørbare filen har en tendens til å bruke mange funksjonspekere (over direkte påkalle funksjoner)

Er dette normalt? Er det noe jeg kan gjøre for å få fortgang i prosessen?

Dette høres ut som IDA trenger mer enn tilgjengelig RAM, og operativsystemet begynner å søke deler av prosessen din inn og ut, noe som vanligvis forsinker ting enormt. Sjekk de aktuelle systemverktøyene (resmon / oppgavebehandling i windows, top / vmstat i linux) for mengden tilgjengelig / minne og diskaktivitet. Og ofc, sørg for at du bruker 64-biters versjonen av IDA.
Den bruker ~ 9% av RAM-en, så mindre enn en GB :) Jeg hadde faktisk både Hopper og IDA som kjørte samtidig, og Hopper var den enorme RAM-grisen (den kjører ikke nå skjønt)! Den kjører på en kjerne, og svært få andre prosesser tar opp ekstra CPU, så jeg tror ikke det er et ressursproblem :) Og ja, jeg bruker 64-biters versjonen av IDA (den kjørbare filen er 64 -bit også)
Jeg opplevde slike problemer da idb-en min ble lagret på en nettverksdisk. Håper det ikke er din sak.
@ws Å ja, det ville sannsynligvis være et ganske stort problem, fordi det virker som om det laster idb dynamisk (og ikke bare lagrer hele filen i RAM). Men nei, dette er alt på min lokale harddisk :)
siden 64-bit-filen (jeg antar at PE32 +) prøver ArkDasm disassembler, har den liten minnefotavtrykk og de samme snarveiene som IDA - www.arkdasm.com
En svar:
tmr232
2016-04-20 11:12:17 UTC
view on stackexchange narkive permalink

Det er noen triks du kan bruke for å øke hastigheten på prosessen.

IDAs Funksjoner-vindu , i tillegg til noen andre vinduer, presenterer sorterte data. Dette betyr at for hver funksjon som legges til, sorterer den hele visningen. Når du bruker> 100 000 funksjoner, kan dette ta lang tid (> 1 sek). Så hvis du har ~ 200 000 funksjoner, vil analysen ta evig tid, mer eller mindre.

Jeg anbefaler på det sterkeste å lukke (skjule er ikke nok) alle visninger unntatt Output-vinduet . Dette burde få fart på ting ganske mye.

Når det gjelder RAM, ettersom det er et 32-bits program, kan IDA bare ta opptil omtrent 3 GB minne. Fra min erfaring håndterer den 100 MB binærfiler godt.

Jeg tror det hjalp hastigheten litt, takk! Hver oppdatering i statusvinduet er kanskje halvparten? et sekund, kanskje et tredje, men det ser ut til å være mindre enn 16 byte. Så husker jeg at det var mange, mange små funksjoner, omtrent 5 instruksjoner lange eller mindre (faktisk er piktogrammet på IDA helt blått! Minus beige data, og det grå / svart, selvfølgelig)
Bare for å avklare skjønt, svarer dette ikke på spørsmålet, for selv om jeg tror det gjorde litt av en forskjell, er det fortsatt veldig sakte. Jeg tror at statusvinduet nederst forfriskes mye raskere nå, noen ganger går det til ~ 30-50 byte, men dette er fortsatt for sakte haha
Fikk en hastighet på ~ 5 ganger. Takk skal du ha!!!!
Du er en live sparer !! Jeg kan ikke tro at IDA ikke løser dette ...


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 3.0-lisensen den distribueres under.
Loading...