[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/98789742

这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!

PS:作为初学者,深知网络安全这块要学习的知识太多,希望自己能始终保持满腔热血,科研结合实际慢慢前行。

前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密

前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包

参考下面大神的文章,推荐大家阅读:
《加密与解密》段钢等著
IDA Pro使用初探 - whatiwhere大神
IDA Pro 6.6 反汇编程序实例 - 牧码人小鹏
IDA Pro——CrackMe.exe调试
IDA Pro逆向实战之Crackme(简单篇) - ByteWay大神
初练160个CrakeMe程序之005 - 吾爱破解“海天一色001”大神
网络安全-通过ARP中间人欺诈获取用户注册密码 - whatiwhere大神
Windows PE 第一章开发环境和基本工具使用 - TK13大神
160个CrackMe001 - CSDN鬼手大神
160个Crackme030之一元一次方程 - CSDN鬼手大神
逆向破解加密程序 - 薛定谔的小橙子
IDA PRO权威指南–阅读笔记(一) - SueLyon


一.IDA Pro工具简介及初识

1.IDA Pro简介

IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro具有强大的功能,但操作较为复杂,需要储备很多知识,同时,它具有交互式、可编程、可扩展、多处理器等特点,可以通过Windows或Linux、MacOS平台来分析程序, 被公认为最好的逆向工程利器之一。

IDA Pro已经成为分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其中包括Intel x86、x64、MIPS、PowerPC、ARM、Z80、68000、c8051等等。

2.IDA Pro新建工程

IDA Pro是点击下一步傻瓜式安装,安装成功会后会显示两个运行程序“IDA Pro(32bit)”和“IDA Pro(64bit)”,分别对应32位和64位程序的分析。IDA支持常见的PE格式,DOS、UNIX、Mac、Java、.NET等平台的文件格式。

下面讲解首次打开IDA Pro的流程。

第一步:打开IDA Pro32软件

双击exe文件弹出如下图所示的“Support message”界面,点击OK按钮。

第二步:新建一个文件

IDA包括三种加载文件的方式,其中“New”是新建打开一个标准文件的对话框,“GO”是运行打开一个空白工作去,用户将要分析的文件拖入分析,“Previous”是选择最近一次使用过的文件。

第三步:选择一个exe文件载入,它将是我们要进行分析的程序

作者通过C语言写了一段代码,并在本地生成一个“test01.exe”文件,它就是接下来分析的可执行文件。

#include<stdio.h>
int main()
{
	printf("Hello World!!!\n");
	return 0;
} 

选择要导入的文件。

第四步:装载PE文件
在“Load a new file”窗口中选择装载PE文件,包括text(代码块)、data(数据块)、rsrc(资源块)、idata(输入表)和edata(输出表)等,也可以载入二进制文件。

IDA反汇编包括两个阶段,首先将程序的代码和数据分开,分别标记函数并分析参数调用、跳转、指令关系等;接着如果IDA能识别文件的编译类型,就装载对应的编译器特征文件,给各函数赋名。同时,IDA会创建一个数据库,其组件分别保存在“.id0”、“.id1”、“.nam”和“.til”的文件里。

接着弹出确认窗口,可以选择“Don’t show this message again”选项。

第五步:在“Check for Hex-Rays product updates”中点击“OK”
在接下来弹出的Hex-Rays信息框再点击OK后,会要求设置更新选项,这里直接点击OK,默认即可。

第六步:显示运行结果
此时,运行结果如下图所示,接着可以开始我们的逆向分析。

IDA View显示如下图所示:

Hex View十六进制显示如下图所示:

下图可以看到代码中的“hello world!!!\n”。

第七步:查看源代码
按下F5能够查看对应的源代码。

第八步:关闭IDA Pro并保存数据库文件
保存IDB数据库文件至本地,它记录了用IDA Pro对该程序分析中的工作状态,包括反汇编分析、区段扫描、用户自定义结构、用户自定义名称、注释等信息。点击右上角的关闭按钮,弹出IDA Pro保存数据库窗口(Save Database),使用默认选项,直接点击OK即可以保存生成数据库(.idb)文件。

下次载入时,可以直接加载数据库文件,获取之前分析的状态。


二.IDA Pro工具基本用法

IDA Pro工具打开的主界面如下图所示:

IDA View窗口

该窗口显示如下图所示:

它是通过点击“View”中“Open subviews”->“Disaassembly”调出来的。

IDA View包括两种浏览模式,一种是Text View,一种是Graph View,右键能够相互跳转。

如下图所示,变换成另一种模式。

IDA View主要包括三个区域:

  • 地址区: PE文件加载到内存后的虚地址为准,镜像地址+偏移地址,如0x00401000
  • OpCode操作区: 该部分默认因此,需要Options->General->设置Number of opcode bytes为8显示出来,它是16进制数
  • 反编译代码区: IDA主功能区域,能高亮显示,双击函数或变量名能跳转对应的地址。

Hex View窗口

显示16进制,默认为只读状态,可以用快捷键F2对数据区域(绿色字符区域)在只读和编辑两种状态切换。

Strings窗口

IDA的View有几个按钮对定位代码很重要,如下图所示:

  • Open exports window 打开导出窗口
  • Open import window 打开导入窗口
  • Open names window 函数和参数的命名列表
  • Open functions window 程序调用的所有函数窗口
  • Open strings window 打开字符串显示窗口

这里作者点击Strings显示程序中所有字符串,该窗口有助于你通过程序的运行输出逆向找出对应的代码片断,如下图的字符串及对应的Address。

双击String跳转IAD View页面,如下图所示的地址,单击会高亮。

其他窗口:

  • 导出/入窗口:导出窗口列出文件的入口点,导入窗口列出由被分析的二进制文件导入的所有函数
  • 函数窗口:函数名称,区域,起始位置,长度,描述函数的标记
  • 结构体窗口:分析数据结构,双击数据结构名称展开,查看详细布局
  • 枚举窗口:enums可列举,定义枚举类型
  • 段窗口 segmentation:段的简单列表

文件类型

IDA会创建一个数据库,名为IDB文件,它由四个文件组成。

  • id0:二叉树形式的数据库
  • id1:程序字节标识
  • nam:Named窗口的索引信息
  • til:给定数据库的本地类型定义的相关信息

三.IDA Pro逆向工程实战

1.代码加密

前面第一篇 博客 讲解音乐文件通常采用异或加密,接下来作者通过C语言简单编写了一段加密代码,如下所示:

#include<stdio.h>
#include<string.h>

int main()
{
	int i;
	int len;
	char key[20];
	char res[20];
	char *num = "eastmount";     //密钥 
	char *right = "123456789";   //正确值 
	
	//请输入正确的密码
	printf("please input the key:");
	scanf("%s", &key);
	
	//判断
	len = strlen(key);
	if(len<6 || len>10) {
		printf("Error, The length of the key is 6~10\n");
	} 
	else {
		//加密
		for(i=0; i<len; i++) {
			res[i] = (key[i]^num[i]); //异或加密 
		}	 
		//printf("%s\n", res);
		if(strcmp(res, right)==0) {
			printf("You are right, Success.\n");
		} else {
			printf("Error, please input the right key.\n");
		}
	}
	
	return 0;
}

输入长度不在6-10之间反馈错误“Error, The length of the key is 6~10”,输入错误反馈“Error, please input the right key.”,正确的key才显示正确信息“You are right, Success.”。

接下来我们通过IDA Pro工具解密这个EXE文件,尝试获取Key值。

2.逆向解密

第一步:按照第一部分步骤向IDA Pro中导入文件
显示的调用程序如下图所示。

树形图把条件分支清晰地显示出来了,左下角有IDA视图的缩略图。在上面点击可以快速定位到视图的指定位置,并且各个部分都有详细的代码信息 ,比如定义的两个变量及偏移位置。

第二步:查看字符串显示窗口
IDA Pro工具中菜单栏的View有几个按钮对定位代码很重要,如下图所示:

  • Open exports window 打开导出窗口
  • Open import window 打开导入窗口
  • Open names window 函数和参数的命名列表
  • Open functions window 程序调用的所有函数窗口
  • Open strings window 打开字符串显示窗口

这里作者点击Strings显示程序中所有字符串,该窗口有助于你通过程序的运行输出逆向找出对应的代码片断,如下图的字符串及对应的Address。

双击String跳转到如下图所示的地址,单击会高亮。

第三步:查看源代码
在如下图所示界面中按下F5键可以显示源代码。

显示的源代码如下所示:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char Str1[32]; // [esp+38h] [ebp-50h]
  char Str[40]; // [esp+58h] [ebp-30h]
  int v6; // [esp+80h] [ebp-8h]
  int i; // [esp+84h] [ebp-4h]

  __main();
  printf("please input the key:");
  scanf("%s", Str);
  v6 = strlen(Str);
  if ( v6 > 5 && v6 <= 10 )
  {
    for ( i = 0; i < v6; ++i )
      Str1[i] = gcc2_compiled_[i] ^ Str[i];
    if ( !strcmp(Str1, "123456789") )
      printf("You are right, Success.\n");
    else
      printf("Error, please input the right key.\n");
  }
  else
  {
    printf("Error, The length of the key is 6~10\n");
  }
  return 0;
}

注意,该部分代码与之前写的C语言代码略有不同,比如之前判断长度 if(len<6 || len>10) 提示错误,而这里是 if ( v6 > 5 && v6 <= 10 ) 正确执行,else显示错误。

这段代码的基本逻辑是输入字符串Str,然后循环与gcc2_compiled_变量异或加密,输出为Str1变量,当加密后的Str1变量值为“123456789”则解密成功,否则失败。
那么,gcc2_compiled_变量的值是多少呢?

第四步:定位核心代码
接着选中gcc2_compiled_变量,当它变高亮双击之后会跳转到对应的页面。

原来如此,它的密钥是“eastmount”,加密结果是“123456789”。

第五步:逆向解密
最后撰写解密代码,实现逆向解密,“eastmount” 异或输入代码Str,并且值等于123456789,则可以成功显示。

#include<stdio.h>
#include<string.h>

int main()
{
	int i;
	int len;
	char res[9];
	char *num = "eastmount";     //密钥 
	char *right = "123456789";   //正确值 
	
	
	//判断 TS@@XYBVM
	len = strlen(num);
	for(i=0; i<len; i++) {
		res[i] = (right[i]^num[i]); //异或加密
	}
	res[i] = 0;
	printf("The right key is: %s\n", res);
	return 0;
}

解密结果如下图所示:

注意,IDA Pro本地 创建的文件如下图所示。


四.总结

写到这里,这篇基础性文章就叙述完毕,网络安全要学习的知识真的很多,涉及面很广,包括汇编、网络、操作系统、加密解密、C/C++、Python等。希望自己能慢慢进步,科研与实践并重,也希望读者喜欢这系列总结笔记。不喜勿喷,与你同行~

七夕两人又双叒异地了,三年前你在敦煌日出前写下“璋娜”,而今天我写了封情书作为礼物,三张薄纸,道不出无数思恋。武汉美,武大更美,但我知道此行的目的,是来求知,来充电的,吾家有女初成长,早日学成团聚才是我的归属。凌晨赶紧去写一篇博客,记录今天IDA Pro学习心得,女神节日快乐。

(By:杨秀璋 2019-08-07 周三深夜1点写于武汉 https://blog.csdn.net/Eastmount )

展开阅读全文

没有更多推荐了,返回首页