IDA反汇编工具初探

原创 2003年11月13日 00:11:00

看过<<笑傲江湖>>的朋友一定知道吸星大法吧,这是一种可以吸取他人内功来使自己功力增长的神功,(段誉的北冥神功也是这样, 扯远了...).对于程序员来说,增长自己编程功力的一个好方法是阅读其它人开发的程序的源码,从而把别人的技术来消化成为自己知识,这是不是很象吸星大法?
但开源的程序毕竟是在少数,大多数程序都只会分发可执行文件及相关文件,这时我们要想查看此程序的代码,就只有把它反汇编,当然这需要一定的汇编功底,但是一个好的反汇编工具能为你阅读反汇编出来的程序提供非常大的帮助.
了解反汇编的朋友也一定知道WINDASM这个有名的反汇编工具,比如我们用WINDASM反汇编一个程序,在其程序入口点反汇编得到如下代码:
//*********************** Program Entry Point *****************
:00401000 6A00                 push 00000000
:00401002 E8FF050000      call 00401606
:00401007 A316304000      mov [00403016], eax
:00401007 E8EF050000      call 00401600
:00401011 A30E304000      mov [0040300E], eax
:00401016 6A0A                 push 0000000A
:00401018 FF350E304000   push dword ptr [0040300E]
:0040101E 6A00                 push 00000000
:00401020 EF3516304000   push dword ptr [00403016]
:00401026 E806000000       call 00401031
:0040102B 50                     push eax
:0040102c E8C9050000      call 004015FA

如果不联系上下文及知道这是程序入口的话,很难看出来这一段代码到底是干什么的,但IDA就不一样了,它不但会反汇编程序,并会尽量分析程序,并加上相应的注释(正因为这样,IDA反汇编一个大的程序会花非常长的时间),请看下面一段IDA反汇编出来的代码,是不是明了多了?
.text:00401000                 push     0               ; lpModuleName
.text:00401002                 call      GetModuleHandleA
.text:00401007                 mov     hInstance, eax
.text:0040100C                call      GetCommandLineA
.text:00401011                 mov    dword_0_40300E, eax
.text:00401016                 push    0Ah
.text:00401018                 push    dword_0_40300E
.text:0040101E                 push    0
.text:00401020                 push    hInstance
.text:00401026                 call      sub_0_401031
.text:0040102B                 push    eax             ; uExitCode
.text:0040102C                 call      ExitProcess

IDA反汇编程序后,会生成一个 .idb文件,里面保存了反汇编出来的代码及注释及IDA的一些其它相关数据,我们可以直接在IDA中写自己的分析结果和注释并保存,下次直接打开.idb文件就可以了,例如上面
.text:00401000                 push    0               ; lpModuleName
.text:00401002                 call      GetModuleHandleA
.text:00401007                 mov     hInstance, eax

我们可以看出来实际上就是hInstance = GetModuleHandleA(nil);我们可以在后面直接加上注释,在.text:00401007这一行最后面的空白处点右键,在弹出的菜单中选择"注释",然后在弹出的窗口中填上"取得当前模块实例句柄",这一行就会变为
.text:00401007                 mov     hInstance, eax  ; 取得当前模块实例句柄

这样就为我们的反汇编出的代码增加了可读性.
IDA不但可以在当前代码中加注释,还可以更改其默认的符号名,比如
.text:00401011                 mov     dword_0_40300E, eax
其中的dwrd_0_40300E可以看出来是存放取得的命令行的缓冲区指针(可以双击符号名,函数名跳到其定义处),在dword_0_40300E上面点右键,选取"重命名",然后在弹出的窗口中填入lpCommandline,点确定,这样程序中所有使用到了dword_0_40300E这个变量的地方都会将dword_0_40300E替换为lpCommandline.如下所示:
.text:00401011                 mov     lpCommandline, eax
.text:00401016                 push    0Ah
.text:00401018                 push    lpCommandline

我们再来看.text:00401026                 call    sub_0_401031这一行
可以从上面的代码看出来,这是调用的WinMain函数,在sub_0_401031上面点右键,选取"重命名",然这个函数命名为WinMain,这时IDA就将所有sub_0_401031符号变为WinMain, 并且自动加上函数定义,并会在函数调用时入栈的参数后面加上其对应的变量注释,这时我们反汇编出来的这一段代码就成了下面这个样子的了:
.text:00401000 start           proc    near
.text:00401000                  push    0               ; lpModuleName
.text:00401002                  call      GetModuleHandleA
.text:00401007                  mov     hInstance, eax  ; 取得当前模块实例句柄
.text:0040100C                 call      GetCommandLineA
.text:00401011                  mov     lpCommandline, eax
.text:00401016                  push    0Ah             ; nShowCmd
.text:00401018                  push    lpCommandline   ; lpCmdLine
.text:0040101E                  push    0               ; hPrevInstance
.text:00401020                  push    hInstance       ; hInstance
.text:00401026                  call      WinMain
.text:0040102B                  push    eax             ; uExitCode
.text:0040102C                  call      ExitProcess

是不是一目了解了呢?
当我们通过阅读源码,能确定某一个子函数的作用及传入的参数类型时,我们可以双击这个函数名,跳到函数定义处,在函数定义处点右键,使用"设置函数类型"功能来编辑函数定义(C++语法),这样所有调用到这个函数的地方都会在入栈的参数后面加上其对应的变量注释. 还可以通过在函数定义处后面空白处点右键加上"可重复注释",这样所有调用此函数的地方都会在后面加上这个重复的注释.

如果想查看某个变量或函数被调用的情况,可以通过在函数或变量名上点右键,点击"查看操作数交叉索引处"功能,就可以在打开的窗口中查看到所有调用其的代码,并可通过双击跳到这段代码处.这是一个很有用的功能,能帮助你快速的搞清函数及变量的调用关系.

按下F12还可以查看到程序的流程图,CTRL+12可以查看到函数的调用图.

IDA还拥有符号调试技术,能识别常见编释器编释的程序,例如下面反汇编出的VC6.0的程序代码段:
.text:00405427                 push    edx
.text:00405428                 call    _swscanf
.text:0040542D                 lea     eax, [esp+38h+arg_40]
.text:00405431                 push    offset unk_0_5DB1A4 ; const wchar_t *
.text:00405436                 push    eax             ; const wchar_t *
.text:00405437                 call    _wcscmp
.text:0040543C                 add     esp, 1Ch
.text:0040543F                 test    eax, eax
.text:00405441                 jz      short loc_0_405459
.text:00405443                 lea     ecx, [esp+24h+arg_40]
.text:00405447                 push    offset unk_0_5DB18C ; const wchar_t *
.text:0040544C                 push    ecx             ; const wchar_t *
.text:0040544D                 call    _wcscmp
就检查到了其调用了MFC类库中的函数,并把它们替换成了相应的函数名.

还可以调用IDA导出.MAP文件,来配合其它动态调试工具如SOFT-ICE来进行代码分析.

IDA是一个非常强大的反汇编工具,这里只是讨论了一下它的一些基本的应用,希望能起到抛砖引玉的作用,如果对IDA应用有兴趣的朋友可以来信讨论,或参考段钢先生的<<加密与解密>>一书,里面对IDA的应用有较祥细的讲解.
我的Mail:akunspy@sina.com

IDA使用初探-1.启动IDA

在传统的软件开发模型中,通过编译器、汇编器和链接器中的一个或几个创建可执行程序。为了回溯编程过程(对程序进行逆向工程),使用各种工具撤销汇编和编译过程,这些工具就叫做反汇编器和反编译器。反汇编器撤销汇...
  • SR0ad
  • SR0ad
  • 2012年09月24日 01:08
  • 15184

IDA使用方法

从4.17版开始IDA PRO就提供了流程图功能,它使用了VCG图形库里面的WinGrah32工具。IDA PRO可以提供标准的GDL图形给WinGrah32来绘制流程图。流程图工具条如下所示。 ...
  • biyusr
  • biyusr
  • 2018年01月05日 17:42
  • 111

IDA Pro 逆向速参(链接)

IDA Pro 逆向速参(链接) 整理:PeterDocter 逆向准备 【 IDA】使用IDA load file功能,导入JNI.h解析【JNI 函数】 - CSDN博客 IDA ...
  • wizardforcel
  • wizardforcel
  • 2018年01月14日 17:39
  • 206

IDA+Pro使用教程(中文)

  • 2011年10月19日 14:07
  • 2.93MB
  • 下载

IDA PRO新手使用教程

本人也是菜鸡一枚,此教程仅针对新手,大佬请自行略过,失误之处请多指正。 先给大家分享一下IDA pro的链接;链接:https://pan.baidu.com/s/1miiSkzQ 密码:a2mm。里...
  • re_psyche
  • re_psyche
  • 2017年12月13日 22:38
  • 2333

工具使用 - IDA使用

IDA的常用使用方法
  • skylin19840101
  • skylin19840101
  • 2015年10月18日 22:37
  • 1953

IDA实例教程

IDA实例教程   作者:笨笨雄 邮箱:nemo314@gmail.com   1 软件环境          静态分析有很多好处,例如加壳的程序(尽管对于高手来说这并不会耗费太多时间),我们不需要寻...
  • zang141588761
  • zang141588761
  • 2016年09月10日 15:53
  • 11300

逆向安全基础之IDA使用简介

通过IDA进行逆向反汇编是介于源码白盒测试和黑盒测试之间的一种安全测试方法,它可以避免源码测试中遇到的许多干扰代码,同时也可以避免黑盒测试中无法深入系统模块内部的瓶颈,是系统安全渗透测试人员的必备基础...
  • ilnature2008
  • ilnature2008
  • 2017年02月07日 17:21
  • 2324

ida把一段数据解释成自定义结构体

首先:怎样定义结构体 1、切换到Structures标签页,按下键盘上的Insert键,输入结构提名,点击OK生成一个空的结构体。如下图: 2、增加成员变量 把光标放到my_st...
  • singleyellow
  • singleyellow
  • 2017年12月27日 15:50
  • 73

windows下使用IDA远程调试linux(ubuntu)下编译的程序

1.背景真机:win7 x64 ida pro 6.8 虚拟机:ubuntu 16.04 x64 现在在win7下远程调试ubuntu内自己编译的程序。2.ubuntu内编译程序1.桌面建立test...
  • lacoucou
  • lacoucou
  • 2017年05月02日 11:54
  • 2318
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:IDA反汇编工具初探
举报原因:
原因补充:

(最多只允许输入30个字)