从0开始学逆向 第二期:最喜欢的IDA

已于 2024-09-03 21:10:11 修改
阅读量810 收藏 4
点赞数 7
分类专栏: # 从0开始学逆向 从0开始的CTFer之路 CTF相关 文章标签: 安全 网络安全 c语言
于 2024-09-03 14:35:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHTXRT/article/details/141861030
版权

Reverse 学习(二) - IDA 大好き

上一节提到了逆向(和Pwn)中利用最广的工具:IDA。那么今天我们来重点讲讲这IDA应该如何使用(基础用法,难的我不会)。

学习要求

  1. 会用鼠标
  2. 会用键盘
  3. 其它跟上一节一致

[undefined](想不到标题名)

对于刚入门的 re新星来说,最常见的还是静态分析的题目,我们可以使用IDA来进行反汇编以及进一步的反编译工作。

IDA Pro(interactive Disassembler Professional)是由 Hex-Rays 公司出品的一款交互式反汇编工具,也是软件逆向工程当中最流行的一个静态分析工具。

在之前和之后的章节中,我们提到的 IDA 其实指的就是 IDA Pro

这里,我们假设您已经安装好了 IDA Pro

用IDA打开程序

俗话说的好,千里之行,始于足下。你想用IDA来逆向程序,那你肯定要先用IDA打开这个程序。

如果你成功地安装了IDA Pro,那你的桌面上应该会有两个IDA,一个是32位的(x32/32-bit),一个是64位的(x64/64bit),与要分析的程序对应。32位IDA不能打开64位程序,64位IDA能打开32位程序,但是只能反汇编不能反编译。

在这里插入图片描述

想要分析一个程序,我们可以将这个程序拖到对应的IDA图标上,IDA一般都能自动识别出程序类型,会弹出如下弹框:

在这里插入图片描述

一般来说,这里我们一般都不用动这些选项,直接点OK就行了。

这个OK点完,还可能出现如下图所示弹窗:

在这里插入图片描述

出现这个弹窗就说明你有芙了,这个弹窗是用来询问你是否加载程序编译时自带的调试信息(也就是 gcc -g),看到这个狠狠地点 Yes 就完事了,这样有很多程序的函数名和变量名等都会被保留。(加载调试信息和不加载调试信息,你打开程序后可以明显看出区别,感兴趣的可以自己试试)

除了这个弹窗,还有可能会出现一些别的弹窗,一般来说,如果你看不懂,点 Yes/ OK 就完事了(“啊对对对”)。

可能有很多同学不懂得64位程序和32位程序的区别,也不知道怎么辨别程序是64位和32位,暂时对指令集知识一窍不通。没关系,我这里有个非常简单的方法:如果你不知道你要逆向的程序是多少位的,你可以先用32位IDA打开它,如果显示 Please use 64-bit IDA to load PE+ files就说明这个程序是64位的,你再用64位IDA打开它,否则这个程序就真的是32位的。(这个方法主要是防止发生你用64位IDA成功打开了32位程序但却反编译不了的尴尬场景,懂哥就不用这么试了)

成功打开程序后的IDA界面

完成上一步后,我们就会看到这样一个界面:

在这里插入图片描述

其中,左边那名为 Function Windows 的一列,是 IDA 所识别出来的函数列表,双击这个表里的函数名可以直接跳转到对应函数。

中间那几页介绍如下:

  • IDA-View :以汇编形式呈现的由 IDA 进行反编译所得的单个函数结果,默认是以由基本块构成的控制流图的形式进行展示,也可以通过 空格 键切换到内存布局中的原始汇编代码
  • Hex View : 二进制文件的原始数据视图(有点类似于在16进制编辑器中打开的样子)
  • Structures :由 IDA 所识别出来的程序中可能存在的结构体信息
  • Enums :由 IDA 所识别出来的程序中可能存在的枚举信息
  • Imports : 该二进制文件运行时可能需要从外部导入的符号
  • Exports : 该二进制文件可以被导出到外部的符号

对要进行反编译的函数按 F5 键,可以对这个函数进行反编译,IDA会自动将汇编代码尽力反编译为 C/C++ 形式的源代码。

在这里插入图片描述

在后面,我们称 IDA-View 为“反汇编界面”,Pseudocode 为“反编译界面”。

反编译界面基本操作

注意:此节所讲的一些操作,大多在反汇编界面中也可使用。

有时候,为了能更好的阅读代码,我们可能想要修改变量名。单击可以选中某个变量,对其按右键弹出菜单,其中有几个选项可以重点注意:

  • Rename lvar...:快捷键N,重命名变量
  • Set lvar type..:快捷键Y,设置变量的类型
  • Jump to xref...:快捷键X,列出有哪些地方的代码使用了这个变量

对函数名按右键,也可以对函数进行类似的操作:

  • Rename global item...:快捷键N,重命名函数
  • Set item type..:快捷键Y,设置函数的类型(比如返回值、参数类型等)
  • Jump to xref...:快捷键X,列出有哪些地方的代码调用了这个函数

其它常用快捷键

Shift+F12:打开Strings窗口,可以列出程序中所有字符串,可以用来定位程序的主体代码

(未完待续)

例题

BUUCTF-easyre


本期就先写到这里,主要讲了讲IDA的一些基础用法,下期将会写一下逆向题目的基础做法。

参考资料

[1] IDA Pro - CTF Wiki :https://ctf-wiki.org/reverse/tools/static-analyze/ida/

以上内容仅供参考,如有错漏,也很正常。


作者:CHTXRT

出处:https://blog.csdn.net/CHTXRT

本文使用「CC BY-ND 4.0」创作共享协议,转载请在文章明显位置注明作者及出处。

CHTXRT
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6337
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
IDA 软件逆向
u010451780的专栏
12-21 4086
俗话说,工欲善其事,必先利其器,在二进制安全习中,使用工具尤为重要,而IDA又是玩二进制的神器,以前在使用IDA的时候,只是用几个比较常用的功能,对于IDA的其他功能没有去研究,于是本着习的精神,参考着《IDA pro权威指南》(第二版),写下这篇文章,记录自己的习心得,下面的记录都是在Windows平台下的IDA pro7.0进行的 一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显
[安全攻防进阶篇] 十.熊猫烧香病毒机理IDA和OD逆向分析--病毒释放过程(中)
热门推荐
杨秀璋的专栏
12-19 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢
CrackMe033:OD和IDA分析结果不同?
可乐松子的博客
05-30 637
文章目录1.基本信息2.第1个错误对话框3.第2个错误对话框4.验证猜想5.注册机6.参考 1.基本信息 CrackMe033和CrackMe034都是《使用OllyDbg从零开始Cracking》第九章的案例 2个程序都是汇编写的,没有壳 题外话:开始入门时看的就是《使用OllyDbg从零开始Cracking》,这个文档很适合入门,当时还对着操作了一遍,但是这次逆向居然不记得以前过了,重复操作浪费时间了,因此有2点后续一定要注意 1.一定要自己逆向出来,即使参考别人的也要自己操作一遍 2.逆
IDA+OD双剑合璧=逆向无敌
翻肚鱼儿的博客
11-03 1279
准备工具:ollydbgidavs2012---------------------------------我们先把目标程序winasm_0.exe拖入peid主界面 那我们去输入表看看 也好像没什么特别值得关注的。、那好简单测试下程序看有什么状况发生 看弹出对话框那我们该想到什么?API断点!messagebox相关!不急我们把它拖入OD直接ctrl+A分析 入口点: 习惯性的我把它上下一翻、发现: 这不是我们要找的字符串吗?...
[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5136
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢
Android逆向之旅---Android中分析某短视频的数据请求加密协议(IDA动态调试SO)第一篇
编码美丽
12-31 1734
一、前景回顾大家会好奇这篇文章感觉有种似曾相识的感觉,标题不一样了?的确之前那篇文章因为某种原因被删了,为什么要删大家懂得!的确是我的过错,标题弄得太明显给某公司带来烦扰,所以就整理再发一次!看过的同就当回顾,没看过的就认真看一下吧!不过本文会增加一个知识点,就是今天有个同在看我的博客(博客这篇文章没有删)的时候发现,某音的应用已经做了安全提示了:看到最新版的应用已经开始检查设备是否安装Xpo
数据传输安全——混合加解密(国密)
SheldonChang的博客
09-03 1063
SM2:这是一种基于椭圆曲线密码(ECC)的非对称加密算法,主要用于数字签名和密钥交换。它提供了一种安全的方式用于保护信息的完整性和机密性。SM4:这是一种对称加密算法,类似于AES,但它使用128位的密钥长度来加密数据。SM4在对称加密中提供了快速的数据加密能力。本文介绍了如何使用Java实现基于国密标准的SM2与SM4混合加密解密工具类。通过这种混合加密方式,可以在保证数据安全的同时,也考虑到了加密解密过程的效率问题。随着国密算法的广泛应用,这类工具将会在越来越多的应用场景中发挥重要作用。
光盘安全隔离与信息单向导入系统-信刻
cdprinter的博客
08-30 72
为更多用户提供安全可靠的跨网数据单向导入/导出光盘摆渡系统解决方案,解决内外网数据交换的问题,确保数据交换过程的安全性。
海外直播对网速、带宽、安全的要求
TIANGEKUAJING的博客
09-03 124
要满足海外直播的要求,需要拥有合适的网络配置。在全球化的浪潮下,海外直播正逐渐成为企业、个人和各类组织的重要工具。不论是用于市场推广、品牌宣传,还是与观众互动,海外直播都为参与者带来了丰富的机会。然而,确保高质量的直播效果,必须满足特定的网络条件。
注册安全分析报告:央视网
Explinks的博客
09-03 273
央视网作为中央广播电视总台主办的中央重点新闻网站和国家级互联网视频综合传播服务平台, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。
高端控制台使用过程中如何保证用电安全
JiaDeLi_console的博客
09-03 255
因此,在使用过程中,采取有效措施确保用电安全,不仅关乎设备寿命,更直接关系到人身安全及数据安全。同时,增强员工的安全意识,让每个人都成为用电安全的守护者,共同营造一个安全、稳定的工作环境。在高端控制台的使用过程中,可以引入智能监控系统,实时监测电力参数、环境温度等关键指标,一旦发现异常立即报警,为及时处理问题提供有力支持。总之,高端控制台使用过程中的用电安全是一项系统工程,需要从电源布局、设备选型、日常维护、人员培训以及智能监控等多个方面入手,全方位、多角度地确保用电安全,为设备的稳定运行保驾护航。
在线式环氧乙烷检测仪:现代工业生产中的环氧乙烷安全监测
iotsensor的博客
09-03 339
通过精确、可靠的监测,这些设备能够及时发现并预警环氧乙烷的泄漏风险,有效避免火灾、爆炸等安全事故的发生,从而保障生产环境的安全与员工的健康。:ETO-B1电化传感器具有灵敏度高,选择性好,可以过滤灰尘和小水滴,低浓度输出线性好,稳定性好,7系大小,抗H2、NH3、CO2、CL2的干扰等优点,量程为0~100ppm,工作环境为-30~50℃,15~90%RH,分辨率为0.1ppm,主要用在石油,化工,检测工业环境中的VOC气体。因此,对于环氧乙烷的安全管理,必须采取严格的监测措施。
分享 | 某省级城商行用零信任破解远程访问安全风险
trusfort的博客
09-03 289
L行的此次改造一箭三雕,切实提升了企业的身份安全、远程访问安全、数据安全水平,为企业的零信任建设树立了标杆。统一门户与安全接入系统投入使用后,L行有效提升身份安全、远程访问安全、数据安全水平,利用零信任强化了安全防护体系,既提升了网络安全能力,保障了数字化业务安全稳定运行,也为员工提供了更好的体验,提升了办公、运维效率。向上对接权威身份源,向下对接各个业务应用,接管应用的身份管理功能,为所有应用提供统一的员工身份和组织架构信息,进而实现对业务应用身份认证、访问权限、审计日志的统一管理。
AWS EC2安全组配置:轻松开放端口访问
九河云的创作之路
09-03 321
选择要开放的协议类型(如TCP、UDP等),输入端口号,然后在来源处选择允许访问的IP范围。通过以上步骤,您可以轻松管理EC2实例的端口访问,既保证了服务的可用性。记住,定期检查和更新安全组配置是保持EC2实例安全的关键。点击左侧导航栏中的"安全组",找到对应实例的安全组。选择该安全组,点击"编辑入站规则"。在AWS EC2实例上开放特定端口是配置服务器安全性和可访问性的重要步骤。在EC2控制面板中,找到需要开放端口的实例,并记下其安全组ID。添加完所需的规则后,点击"保存规则"以应用更改。
第140天:内网安全-横向移动&局域网&ARP欺骗&DNS劫持钓鱼&中间人单双向
最新发布
weixin_71529930的博客
09-03 287
dns会优先从本地缓存>host文件>本地dns服务器>根域dns服务器>顶级dns服务器>权威dns服务器。这个实验的原理应该就是告诉dns我时被控主机,告诉被控主机我是dns,开启转发的话,还能正常访问,关闭的话就不行了。原理:一台主机不停的向另一台主机发送数据包,并告诉他我是网关,我的ip是网关ip,mac地址却不对应,导致被攻击主机找不到网关,就没有网络。双向原理: 就是告诉网关,我是被控制的主机,告诉被控制主机,我是网关,如果开启转发的话,那么流量都会通过攻击主机。
密钥分发与公钥认证:保障网络通信的安全
2301_80064376的博客
08-27 2113
密钥分发与公钥认证是保障网络通信安全的基石。通过对称密钥分发中心(KDC)和公钥认证中心(CA),可以有效解决密钥分发和公钥认证的问题,确保通信双方的身份真实性和数据传输的机密性。图文来源:《计算机网络教程》第六版微课版‍。
设置无标题 android
05-02
在Android应用中,设置无标题是一种简洁和美观的设计方式,可以为用户提供更流畅的使用体验。以下是一些实现设置无标题的方法: 1. 在Android的Manifest文件中,找到对应Activity的标签,并添加”android:theme="@android:style/Theme.NoTitleBar"“属性。这样可以通过Android自带的主题去掉标题栏。 2. 使用自定义的主题,可以在样式表中添加以下代码: <style name="AppTheme" parent="Theme.AppCompat.NoActionBar"> <!-- ...其他样式... --> </style> 这种方式可以通过设置主题去除ActionBar和标题栏,同时保留其他布局元素。 3. 去掉代码中的setTitle()方法,这是一种最简单的方法,通过不设置Activity的标题来实现无标题。 以上就是三种常见的实现Android无标题的方式,开发者可以根据实际需求进行选择。值得注意的是,去除标题栏可能会影响用户的导航体验,因此在设计上需要考虑周全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值