给IDA中的寄存器变量命名的技巧

最新推荐文章于 2023-08-25 17:17:39 发布
最新推荐文章于 2023-08-25 17:17:39 发布
阅读量2.2k 收藏 2
点赞数 2

前言

release版中, 尽最大可能使用寄存器变量.
如果一个寄存器变量在一段程序中, 在前10行是一个含义, 在后10行是另外一个含义, 看起来很头痛.
今天看了IDA中改名的UI上有参数可以指定改名的地址范围, 正好解决了这个问题.
逆向过程中的反汇编代码的可读性提高很多

改名后的例子

.text:00401000 ; int __cdecl main(int argc, const char **argv, const char **envp)
.text:00401000 _main           proc near               ; CODE XREF: start+AFp
.text:00401000
.text:00401000 iIn             = dword ptr -4
.text:00401000
.text:00401000 divisor = esi                           ; 除数
.text:00401000                 push    ecx
.text:00401001                 push    divisor
.text:00401002                 push    edi             ; 保存环境
.text:00401002                                         ; ;
.text:00401003 iUserInputBk = edi                      ; 用户输入
.text:00401003 INPUT_HALF = ecx                        ; 用户输入数值的一半
.text:00401003                 push    offset msg1     ; "请输入:"
.text:00401008                 call    _printf
.text:0040100D                 lea     eax, [esp+10h+iIn]
.text:00401011                 push    eax
.text:00401012                 push    offset Format   ; "%d"
.text:00401017                 call    _scanf
.text:0040101C                 mov     iUserInputBk, [esp+18h+iIn]
.text:00401020                 mov     divisor, 2
.text:00401025                 mov     eax, iUserInputBk
.text:00401027                 add     esp, 0Ch        ; 平栈 printf和scanf
.text:0040102A                 cdq
.text:0040102B                 sub     eax, edx
.text:0040102D                 mov     INPUT_HALF, eax
.text:0040102F                 sar     INPUT_HALF, 1
.text:00401031                 cmp     INPUT_HALF, divisor
.text:00401033                 jl      short L_WAS_PRIME
.text:00401035
.text:00401035 PARSE_INPUT:                            ; CODE XREF: _main+41j
.text:00401035                 mov     eax, iUserInputBk
.text:00401037                 cdq
.text:00401038                 idiv    divisor
.text:0040103A                 test    edx, edx        ; edx中余数
.text:0040103C                 jz      short L_NOT_PRIME
.text:0040103E                 inc     divisor
.text:0040103F                 cmp     divisor, INPUT_HALF
.text:00401041                 jle     short PARSE_INPUT
.text:00401043
.text:00401043 L_WAS_PRIME:                            ; CODE XREF: _main+33j
.text:00401043                 push    offset msg2     ; "是素
.text:00401048                 call    _printf
.text:0040104D                 add     esp, 4
.text:00401050                 xor     eax, eax        ; ;
.text:00401050                                         ; ;
.text:00401052                 pop     edi             ; 恢复环境
.text:00401053                 pop     divisor
.text:00401054                 pop     ecx
.text:00401055                 retn
.text:00401056 ; ---------------------------------------------------------------------------

改名时的地址范围图例

Start address 和 End address默认是函数范围内有效, 改成在函数内需要的生效范围(只指定包含特定用途的地址范围).
这里写图片描述

LostSpeed
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
每天一个IDA技巧(十一)IDA脚本基础和IDC1
08-03
执行脚本的常用方法三个菜单选项 和 一个命令行=. IDA工作区最下方输出窗口下面有一个命令行输入框数据类型学习一门编程语言,首先学习基本的数据类型,满足基本的
IDA基本使用
热门推荐
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-19 1万+
IDA基本使用,零基础,新手友好,重点使用摘要。ida文件加载,IDA桌面简介,交叉引用,IDA动态调试,IDA脚本
6.IDA-重命名、注释
hgy413的专栏
12-20 8245
由于IDA基础数据库的本质,你对反汇编代码所做的更改将迅速“扩散”到IDA的所有子窗口,以使反汇编代码保持一致 说明 记住,IDA不提供撤销功能。在操纵数据库时,请一定记住这一点。你所能做的,就是经常保存数据库,并恢复到最近保存的数据库版本。 1.改名 多数情况下,要修改一个名称,只需单击你希望修改的名称(使其突出显示),并使用热键N打开更名对话框。另外,右击需要修改的名称,并在出现的上
ida 插件学习(5) 寄存器操作
qq_16812035的博客
09-16 908
#include <string> #include <pro.h> #include <loader.hpp> #include <dbg.hpp> #include <ieee.h> int idaapi IDAP_init(void) { msg("init %s\n",inf.procname); //获取处理器架构...
IDA 在调试时 获取寄存器值的方法
qq_36535153的博客
08-25 1498
并在断点处编辑断点。
ida逆向:变量、函数标注;反编译代码修改
yellow的博客
07-04 1万+
分析dll文件的2个函数变量、函数进行标注,以及反汇编代码修改,(遵循一些约定俗称的规定+自己爱好=形成自己风格)方便以后很快的阅读。 函数1:DllEntryPoint() 汇编窗口 栈窗口 反编译窗口 函数2:Init1( ) 汇编窗口 没有栈窗口 反编译窗口 清楚的标注,方便以后快速识别样本如何执行。
IDA文教程权威指南
最新发布
03-21
工欲善其事必先利其器,学好安全和pojie第一步就是好好利用现有的工具,这个工具写的确实不错从浅入深还扩展了很多,值得好好学一下
从零开始学IDA逆向()1
08-03
从零开始学 IDA 逆向(篇)原著:Ricardo Narvaja译:六文钱目 录32.3 lm 命令 532.4 设置符号文件路径 634 DEP 和植入代
IDA 文帮助
11-22
著名的破解软件IDA Pro的文帮助。作为最优秀的逆向工程工具,IDA成为研究无源码软件的首选工具。
每天一个IDA技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
IDA调试修改内存数据
YJJYXM的博客
11-18 3695
往期推荐 IDA调试界面介绍及快捷键 IDA调试环境搭建 IDA静态分析 IDA工具介绍 一:修改寄存器的值 以下图所示的BLX R3这个函数为例,执行完毕后,他的返回值在右面的R0寄存器,对它进行修改。 1.将鼠标移到R0寄存器,右键,选择“Modify value”选项,可以修改为任意值,如下图所示。 2.除了选择“Modify value”选项外,还可以选择“Zero value”选项,直接置零,如下图所示。 二:篡改内存数据 在函数头打断点,点击F9,程序成功在函数头断下,紧接着F8往下走,当
六、IDA动态分析
生命不息 折腾不止
09-02 2923
6.1 本机调试 使用IDA打开exe,选择菜单Debugger下的Start process(也可以按F9键)来开始调试;在寄存器窗口显示着每个寄存器当前的值和对应在反汇编窗口的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢复。 6.2如何对DLL文件进行动态跟踪 用[F2]在IDA View当前代码行切换断点。 启动装载DLL的EXE文件。 使...
IDA保存修改的寄存器
Android系统攻城狮
11-30 3025
1.修改寄存器 --->Hex View --->右键选择:Edit --->修改后:Apply Changed 2.保存 --->Edit --->Patch Program --->Apply patches to intput files //选择OK即可 **************************************...
IDA-逆向分析-工具教程-IDA简介-反汇编工具-功能窗口
插件开发
10-23 1万+
介绍了IDA反汇编原理分为,线性扫描反汇编和递归下降反汇编。比较了两者的优点和缺点。线性扫描反汇编算法采用一种非常简单的方法来确定需要反汇编的指令的位置:一条指令结束、另一条指令开始的地方。因此,确定起始位置最为困难。常用的解决办法是,假设程序标注为代码(通常由程序文件的头部指定)的节所包含的全部是机器语言指令。反汇编从一个代码段的第一个字节开始,以线性模式扫描整个代码段,逐条反汇编每条指令,直到完成整个代码段。线性扫描算法的主要优点,在于它能够完全覆盖程序的所有代码段。
IDA Pro 权威指南学习笔记(十一) - 名称与命名
andiao1218的博客
08-22 957
多数情况下,要修改一个名称,只需单击想要修改的名称(使其突出显示),并使用快捷键 N 打开更名对话框 右击需要修改的名称,并在出现的上下文菜单选择 Rename 选项,也可以更改名称 参数和局部变量 程序的每个函数可能都有一个名为 arg_0 的栈变量,但没有一个函数拥有一个以上的 arg_0 变量 在栈变量处按快捷键 N 进行重命名变量命名后,IDA 会...
安卓逆向 -- IDA动态调试
weixin_41489908的博客
10-21 1128
一、前言 上节课已经分析出了关键函数,这里只要在关键函数下断,然后,动态调试就可以获取想要获取的数据 二、IDA动态调试步骤 1、将IDA目录dbgsrv文件夹下的android_server复制到真机 adbpush ....as /data/local/tmp 2、执行android_server adb shell进入手机操作模式 cd /data/local/tmp进入到as所在的位置 chmod 777 as给as可执行权限 ./as执行 3、转发端口 adbfor...
IDA笔记
lin___的博客
01-27 1007
前面提到好几次IDA,这个工具算是反汇编界的神器了。更加细节的内容可以看《IDA Pro权威指南》 ,这里只是一些笔记而已。 导航条: 蓝色 标识常规的指令函数 黑色 节与节之间的间隙 银白色 数据内容 粉色 表示外部导入符号 暗黄色 表示ida未识别的内容,可能是一些dcb指令,这时候可以选择 C 将当前地址处的数据解析成代码 ...
IDA-逆向分析-反汇编导航-双击导航-跳转地址-调用约定-局部变量-栈视图-搜索-工具教程
插件开发
10-25 2145
IDA Pro局部变量和参数
05-02
IDA Pro,局部变量和参数的内存分配方式是通过堆栈(stack)来实现的。当函数被调用时,它的参数以及返回地址被压入堆栈,然后局部变量在堆栈顶部分配空间。在函数返回时,堆栈顶部的空间被释放,参数和返回地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值