IDA Pro 6.6 反汇编程序实例

最新推荐文章于 2024-01-26 11:04:54 发布
最新推荐文章于 2024-01-26 11:04:54 发布
阅读量5.1k 收藏 21
点赞数 2
分类专栏: 安全 文章标签: IDA 反汇编 实例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/grape875499765/article/details/61180608
版权

IDA Pro是一款强大的反汇编软件,特有的IDA视图和交叉引用,可以方便理解程序逻辑和快速定位代码片断,以方便修改。

这里写图片描述

                            **IDA视图**

示例程序

下面会通过修改示例程序的输出字符串,来讲解如何使用IDA Pro。

#include

main()
{
    int n;
    scanf ("%d",&n);
    if (n > 0)
       printf("a > 0");  //后面会用IDA Pro把'a'改成'n'
    else
       printf("n < 0");
}

编译后的程序下载:demo

运行IDA Pro

运行IDA Pro,并使用PE文件的方式打开示例的test.exe文件。IDA Pro会新建一个工程,并开始反汇编程序。反汇编完成后,在[IDA-View]窗口中,可以看到程序逻辑的树形图,如下:

这里写图片描述

树形图把条件分支清晰地显示出来了。左下角有IDA视图的缩略图,在上面点击可以快速定位到视图的指定位置。 IDA的View有几个按钮对定位代码很重要,如下图所示:

这里写图片描述

从上到下分别是:
Open exports window:打开导出窗口
Open import window:打开导入窗口
Open names window:函数和参数的命名列表
Open functions window:程序调用的所有函数窗口
Open strings window:打开字符串显示窗口,会列出程序中的所有字符串,该窗口有助于你通过程序的运行输出逆向找出对应的代码片断。

定位代码片断

假设我们现在接到个任务,需修正程序,把输出“a > 0”修正为“n > 0”。示例程序比较简单,直接看IDA视图我们就能找到需修改的代码片断,但实际处理时,可能程序有几m大,通过一个个看IDA视图已没法有效找到相关的执行代码片断,这时怎么办? 使用字符串窗口和IDA强大的交叉引用! 点击View里的[Open strings windows]按钮,可以看到如下的程序字符串:

这里写图片描述

程序的字符串较少,可以很快地看到我们需要的字符串“a > 0”在数据段00403003位置。假如字符串多到已不能肉眼定位查找,因为字符串窗口是没有查找功能的,这时需要借助其他的文本编辑器,如notepad,editplus等。在字符串窗口内右键,选择菜单[copy]命令,会把字符串窗口的所有内容复制到剪贴板,再粘贴到记事本中查找就可以了。 双击字符串窗口的该行字符串,会跳转到IDA视图的00403003位置如下图所示

这里写图片描述

单击’a > 0’中的a,a会高亮,

这里写图片描述

最后定位的代码片断,上图显示的汇编指令即是我们要找的代码片断,这时点击[Hex View-A]窗口,会切换到二进制浏览模式,并高亮了汇编代码的二进制格式指令,如下图所示:

这里写图片描述

已找到需修改的代码片断,剩下的只需把a改成n。

修改程序文件

在IDA中,可以在[Hex View-A]窗口右键选择[Edit]来修改二进制指令。修改后通过右键选择[Commit Change]可以看到修改后的IDA视图。但需要注意的是,这种方式的修改并不会更新原始程序文件,实际只是修改了IDA的项目文件!IDA中只适合做一些验证性的修改,确保正确后再使用其他工具修改原始程序文件。 在IDA中验证修改正确后,可以使用UltraEdit或Hex Workshop来修改原始程序文件。下面会以UltraEdit为例来说明如何修改。

这里写图片描述

下载好UltraEdit,用UltraEdit直接打开程序文件,如上图所示,UltraEdit会以16进制模式显示程序文件。UltraEdit显示的地址和IDA显示的地址是不同的,为了找到对应代码片断在UltraEdit中的实际地址,需要使用到UltraEdit的查找功能。在IDA中复制需修改的16进制模式显示的指令,在UltraEdit中打开查找,粘贴并查找该16进制字符串,UltrEdit会很快定位到该指令处,如下图所示:

这里写图片描述

找到了UltraEdit的对应位置 现在我们要把“a > 0”改成“n > 0”,a对应的ASCII码是61,而n对应的ASCII码是6E,只需把61改成6E就可以了,修改后保存

这里写图片描述

再次运行,可以看到结果已改变!

这里写图片描述

示例只是修改了字符串,只需更改数据段内容就可以了,不用更改指令。假如需要更改指令,需要参考指令集的指令操作表写出对应指今的16进制形式,再修改。

灵魂画手-编程如画
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA Pro 6.6 test程序
03-10
IDA Pro 6.6 test程序,详见CSDN博客,牧码人小鹏,IDA Pro 6.6 反汇编程序实例
ida 字符串查找_IDA的常见操作
weixin_29663547的博客
01-13 1万+
IDA-python的使用:常用的apiget_bytes(address,count)从address处读取count个字节的内容patch_bytes(address,buf),将adress地址处patch成buf的内容Xrefsto(address,flags=0) 找到所有引用了adress的地址byte(address) 获取address地址的一个字节的内容一些IDA常用的快捷键:跳...
利用IDA6.6进行apk dex代码动态调试
weixin_33778544的博客
01-28 157
网上公开IDA6.6已经有一段时间,这个版本有个好处就是可以动态调试java代码。正好现在需要动态调试,所以顺便练习一下。 根据android的官方文档,如果要调试一个apk里面的dex代码,必须满足以下两个条件中的任何一个: 1.apk中的AndroidManifest.xml文件中的Application标签包含属性android:debuggable=”true” 2./default...
IDA详细使用教程,适合逆向新手的实验报告
2201_75362610的博客
01-26 1367
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro 是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!
如何用IDA 调试 WinCE 程序
sstower的专栏
12-04 668
需要的工具: 1. Wince 模拟器6.0 2. Microsoft ActiveSync 4.5 3.IDA pro 6.6 调试环境的搭建: 1. 安装Microsoft ActiveSync 4.5,装完之后将在文件浏览器里面看到新增的移动设备图标,这时点开它,里面时空的: 2. 运行window ce 6.0模拟器,查看里面的连接参数是否配好: 主要检查连接的设定,...
IDA动态调试SO文件
weixin_33798152的博客
10-07 123
1. 所需工具 IDA Pro 6.6. 安卓SDK工具 2. 模拟器设置 将ida所在目录的dbgsrv文件夹内的android_server文件push到模拟器中。 设置777属性 启动调试服务器 新开一个命令行,进行端口转发。 打开模拟器中需要调试的应用。 3. PC端配置 打开i...
最强反编译工具 ida pro 6.6 x86 arm x64 f5全插件原始安装文件泄露版 + sdk_utils
热门推荐
大老的逆向专栏
01-18 1万+
最强反编译工具 ida pro 6.6 x86 arm x64 f5全插件原始安装文件泄露版 + sdk_utils 完整安装包+6.6最新sdk工具包 国内某团购群泄露的的版本 x86 arm x64 f5插件为2.0的版本 正版价值人民币3-5万 6.6更新的内容 IDA: What's new in 6.6 x64 Decompiler It was tough a
反汇编静态分析工具IDA
weixin_47495230的博客
01-23 1153
所谓静态分析,是相对于动态分析而言的。在动态分析的过程中,调试器加载程序,并以调试模式运行起来,分析者可以在执行过程中观察程序的执行流程和计算结果。但是,在实际分析中,很多场合不方便运行目标,比如软件的某一模块(无法单独运行)病毒程序、设备环境不兼容导致无法运行。那么,在这个时候,需要直接把程序的二进制代码翻译成汇编语言,方便程序员阅读。像这样由目标软件的二进制代码到汇编代码的翻译过程,我们称之为反汇编。ollyDbg 也具有反汇编功能,但它是调试工具,其反汇编辅助分析功能有限,不适用于静态分析。
世界顶级的交互式反汇编工具——ida的使用详解
m0_57485346的博客
11-03 1万+
世界顶级的交互式反汇编工具——ida的使用详解
ida实用技巧
qq_35576225的博客
11-04 2452
debugger->debugger windows ->locals找到相应的变量 1.在寄存器中找到相应的位置更换变量类型,比如用a键将其转化为字符串。2.直接在定义变量的位置更换变量类型,比如从_byte *改为 char *,就可以在locals中刷新后显示。通过这个操作可以将变量转换数组,将数据类型修改为 对应的类型的指针 例如 char *a1。12 修改反汇编代码 可以用F2 Edit-patch program。5.修改伪代码变量类型 快捷键y。6.修改汇报中的变量类型。
逆向分析学习小纪——IDA Pro工具的安装与基本使用
Henryli1202的博客
12-20 1万+
这是我的《逆向分析学习小纪》第一篇,这个系列主要介绍我的逆向分析学习过程,本篇涉及我对逆向分析的理解,IDA工具的简介与安装,IDA的基本使用等内容。对我而言,这既是一种学习笔记的记录方式,也是和大家一起学习、一起交流的一个平台~
IDA pro反汇编教程合集.zip
01-23
IDA pro反汇编教程合集.zip 调试 跟踪 加密 解密 脱壳 插件
交互式反汇编IDA Pro
11-13
交互式反汇编IDA Pro (International Disassemble Professional) 使用前请先解压所有文件,并运行 IDAProHelper.exe 进行绿化 另请注意,others目录下面是一些附属文件,如下: 1.如果需要Python3.8支持,请安装...
ida pro 6.6套装
05-03
ida pro 6.6套装 密码 itJpyHidszaR
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
JavaScript介绍.zip
最新发布
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
上位机开发罗克韦尔abcip通信协议详解
04-23
上位机开发罗克韦尔abcip通信协议详解 1.注册会话命令详解 6500 0400 00000000 00000000 0000000000000000 00000000 0100 0000 响应 6500 0400 05000400 00000000 0000000000000000 00000000 0100 0000 6500:注册请求命令 0400:服务长度(0100 0000) 00000000:会话句柄 (由PLC生成) 00000000:状态默认 0000000000000000:发送方描述,默认0 00000000:选项,默认0 0100:协议版本,默认1 0000:选项标记,默认0
Microsoft SPY++ 工具及使用教程
04-23
Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,提供系统进程、线程、窗口和窗口消息的图形视图。 Spy++ 有两个版本。 第一个版本,名为 Spy++ (spyxx.exe),用于显示发送到在 32 位进程中运行的窗口的消息。 例如,在 32 位进程中运行的 Visual Studio。 因此,可以使用 Spy++ 来显示发送到“解决方案资源管理器” 中的消息。 由于 Visual Studio 中大多数生成的默认配置都是在 32 位进程中运行的,因此如果已安装所需组件,则第一个版本的 Spy++ 就是在 Visual Studio 中的“工具”菜单上可用的那一个。 第二个版本,名为 Spy++(64 位)(spyxx_amd64.exe),用于显示发送到在 64 位进程中运行的窗口的消息。 例如,在 64 位操作系统上,记事本在 64 位进程中运行。 因此,可以使用 Spy++(64 位)来显示发送到记事本的消息。 详细的使用说明请见:https://blog.csdn.net/huang1600301017/article/details/138137
js导出excel封装【原生、配置式】 示例
04-23
导出excel示例
ida pro ubuntu16
07-03
### 回答1: IDA Pro 是一款用于逆向工程的软件,可以帮助分析和调试二进制文件。Ubuntu 16 是一种Linux操作系统,可以在PC和服务器领域中使用。IDA Pro 可以在 Ubuntu 16 上运行,提供强大的反汇编和分析功能。 安装IDA Pro 在Ubuntu 16上非常简单。首先,我们需要从IDA Pro官方网站上下载适用于Linux的安装包。然后,打开终端,使用命令行将下载的安装包解压缩。解压后,我们将获得一个可执行文件,可以通过命令行运行IDA Pro。 运行IDA Pro后,我们可以使用其直观的用户界面来加载二进制文件,并对其进行反汇编和分析。通过IDA Pro,我们可以查看二进制代码、函数和变量,进行跟踪和调试,以及修改和重建程序。 在Ubuntu 16上使用IDA Pro的好处是,我们可以利用Linux操作系统的强大功能和灵活性。Ubuntu 16提供了丰富的开发工具和资源,可以与IDA Pro良好地集成,从而提供更好的逆向工程体验。 总的来说,IDA Pro 在Ubuntu 16 上的运行非常方便,并且能够为逆向工程带来便利。无论是专业的逆向工程师还是对二进制文件感兴趣的用户,都可以通过IDA Pro在Ubuntu 16上进行反汇编和分析。 ### 回答2: IDA Pro是一款功能强大的反汇编工具,能够用于分析、反编译和调试各种程序。而Ubuntu 16是一种流行的Linux操作系统。因此,ida pro ubuntu16是指在Ubuntu 16环境中使用IDA Pro的相关情况。 在Ubuntu 16上安装和使用IDA Pro相对来说比较简单。首先,我们需要获得IDA Pro的安装包,并确保安装包与Ubuntu 16的体系结构相匹配。然后,我们可以通过命令行或者图形界面运行安装包进行安装。 安装完成后,我们可以通过命令行或者桌面图标启动IDA Pro。首次启动时,我们可能需要设置一些初始配置,比如选择默认的插件、设置工作目录等。 一旦IDA Pro运行起来,我们就可以开始进行代码反汇编和分析的工作了。IDA Pro提供了诸多功能,如图形界面、交互式反编译器、调试器等。我们可以通过IDA Pro的图形界面导入待分析的程序文件,并对其进行反汇编和调试。在反汇编过程中,IDA Pro会将机器码转换为易读的汇编代码,以便我们更好地理解程序的执行逻辑。 除此之外,IDA Pro还支持插件扩展和脚本编写,我们可以根据自己的需求编写插件或使用已有插件来增强IDA Pro的功能。 综上所述,ida pro ubuntu16指的是在Ubuntu 16上安装并使用IDA Pro进行程序分析和反汇编的情况。通过IDA Pro,我们可以更深入地了解程序的执行过程,帮助我们进行逆向工程、漏洞分析等工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值