IDA PRO 0B - 类型修复

于 2023-12-20 11:06:20 发布
阅读量1.2k 收藏 20
点赞数 34
分类专栏: IDA PRO 文章标签: 前端 java 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/135103158
版权

​当对二进制文件进行逆向工程时,IDA PRO可能无法正确识别变量和函数的数据类型。这可能导致分析错误并阻碍对代码的理解。IDA PRO的类型修复功能通过允许用户手动指定或纠正数据类型来解决这个问题。

通过使用类型修复功能,用户可以提高反汇编代码的准确性和可读性。这在分析复杂的二进制文件或处理涉及各种数据结构和函数调用的代码时特别有用。

这段话是 notion 的 ai 生成的,有点意思啊,可惜教育版只有10次试用机会。

本文的实验材料已上传到 p21

函数返回值类型

对于没有返回值的函数,我们先查一下这个函数的所有交叉引用,确保这个函数每一处调用都不引用返回值。

确定该函数的返回值没有用处之后,我们就可以更改该函数的签名,将函数的返回值类型修改为 void,这样 IDA 生成的反汇编代码会更简洁。

以 sub_4011F0 这个函数为例(实验材料T7,是一个32位程序):

其交叉引用只有一处:

看伪代码,并没有使用返回值,所以我们直接更改其签名,使用 Y 快捷键:

点击 ok 之后,伪代码变成下面模样:

可以看到,基本上代码量缩小了一半,因为类型修正后, IDA 会进一步优化代码逻辑(因为返回值没有用到,所以就直接剪除了与返回值相关的指令),是可读性更高。

指针类型修复

通常情况下,IDA的伪代码里面都是一个int类型打天下,几乎所有函数的参数都是 int 类型。这是因为 IDA 将很多指针类型识别成了整数类型。

以 sub_4011F0 这个函数为例(实验材料T7,是一个32位程序):

int __cdecl sub_401270(int a1, const char *a2, int a3)
{
  signed int v3; // kr00_4
  int result; // eax
  signed int v5; // [esp+10h] [ebp-8h]

  v5 = 0;
  v3 = strlen(a2);
  while ( v5 < v3 )
  {
    *(_BYTE *)(a3 + *(_DWORD *)(a1 + 4 * v5)) = a2[v5];
    ++v5;
  }
  result = v5 + a3;
  *(_BYTE *)(v5 + a3) = 0;
  return result;
}

伪代码中,最重要的是这一行:

*(_BYTE *)(a3 + *(_DWORD *)(a1 + 4 * v5)) = a2[v5];

我们可以看到,在对 a1 进行访问的时候,是将它做了一些偏移,然后以 _DWORD * 的形式来进行访问。所以,a1 的正确类型应该是一个int * 类型,同理,a3 是一个 byte * 类型,更准确一点来说是一个 char *

我们更改其类型后,伪代码变为如下:

byte *__cdecl sub_401270(int *a1, const char *a2, char *a3)
{
  signed int v3; // kr00_4
  byte *result; // eax
  signed int v5; // [esp+10h] [ebp-8h]

  v5 = 0;
  v3 = strlen(a2);
  while ( v5 < v3 )
  {
    a3[a1[v5]] = a2[v5];
    ++v5;
  }
  result = &a3[v5];
  a3[v5] = 0;
  return result;
}

这下程序看起来就很像人写的了。同样的,这个函数的返回值也是没有用到的,所以我们可以继续优化代码,再综合程序的逻辑,给参数进行重命名,基本就可以完全还原源代码了:

void __cdecl sub_401270(int *table, const char *input, char *output)
{
  signed int v3; // kr00_4
  signed int v4; // [esp+10h] [ebp-8h]

  v4 = 0;
  v3 = strlen(input);
  while ( v4 < v3 )
  {
    output[table[v4]] = input[v4];
    ++v4;
  }
  output[v4] = 0;
}

可以看出 table 是一个 index 乱序表。

数组修复

以 main 这个函数为例(实验材料T7,是一个32位程序),这是一个栈数组的例子:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  ...
  char Str[5]; // [esp+84h] [ebp-38h] BYREF
  char Source[47]; // [esp+89h] [ebp-33h] BYREF

  ...
  if ( sub_401000(Str, "flag{") != (_DWORD)Str || Source[32] != 125 )
    sub_401340(v6);
  ...
  return 0;
}

看到 if 语句里面,Source有个对 32 位置的引用,而Source却没有被初始化,看上去有点蛋疼。

这是因为IDA 错误识别了 Str 数组大小,导致 Str 数组的一部分变成了 Source 数组。

我们将 Str 的大小改为 5 + 47 = 52,看看伪代码变化(IDA会提示Source会被覆盖,这是我们期望的,点击Yes即可):

int __cdecl main(int argc, const char **argv, const char **envp)
{
  。。。
  char Str[52]; // [esp+84h] [ebp-38h] BYREF

  。。。
  if ( sub_401000(Str, "flag{") != (_DWORD)Str || Str[37] != 125 )
    sub_401340(v6);
  。
  return 0;
}

现在,Str 与 Source 就合并了。

再看一个全局数组的例子,还是 main 函数:

sub_401270(a1, Destination, a3);

这里对 a1 有一个引用,它是一个全局数组,其作用我们上面已经分析过了,是一个索引乱序表。它的大小固定是32位(分析sub_4011F0可知),所以我们可以对其建立一个数组:

点击第一项地址按 d 键调整 a1 第一个元素的大小为数组元素类型对应的类型字节大小。右键选择 【Array】,在 【Array Size】填上数组对应的元素个数,最后点击 【ok】。

枚举值修复

IDA 的类型数据库内置了常见的枚举(宏)的值,可以直接引入并修复。这可以增加一下常量值的可读性,比如,我们使用 ptrace 函数,需要转递一个常量值,IDA 在反汇编的时候不会展示其常量值名字,只会展示数值,所以我们可以修复一下。

以sub_401F2F为例(实验材料:ptrace1):

这段伪代码里面的 sub_44CC50 就是 ptrace 函数,点进去可以看到 sys_ptrace 的调用。

选中 12 这个数字,按下快捷键 "M",在弹出的窗口中选择对应的常量值,在弹出的窗口 CTRL + F 搜索 ptrace 相关的常量值,可以找到 PTRACE_GETREGS,不知道常量值名字可以去查查开发文档。

最终函数变成了:

((void (__fastcall *)(_QWORD, _QWORD, _QWORD, char *))sub_44CC50)(PTRACE_GETREGS, a1, 0LL, v7);

结构体修复

确定结构体大小

  • 内存分配可以直接确定结构体大小

  • memcpy / 局部变量偏移差 -> 间接确定 (结构体/类局部变量)

以 sub_2A83 为例(实验材料:monopoly):

 v0 = operator new(0x70uLL);
  sub_2602(v0, "Arbington", 0LL, 0LL, 0LL, 0LL);
  qword_A1C0 = v0;
  v1 = operator new(0x70uLL);
  sub_2602(v1, "Bredwardine", 0LL, 0LL, 0LL, 2LL);
  qword_A240 = v1;
  v2 = operator new(0x70uLL);
  sub_2602(v2, "Dangarnon", 0LL, 0LL, 0LL, 2LL);
  qword_A2C0 = v2;

可以看到为代码里面有很多 new 操作,我们为其创建一个结构体,由于我们对这个结构体信息知道的非常少,所以我们先使用一些字段来填充这个结构体,让其大小为0x70即可:

00000000 struc_1 struc ; (sizeof=0x70, mappedto_9)
00000000 field_0 dq ?
00000008 field_8 dq ?
00000010 field_10 dq ?
00000018 field_18 dq ?
00000020 field_20 dq ?
00000028 field_28 dq ?
00000030 field_30 dq ?
00000038 field_38 dq ?
00000040 field_40 dq ?
00000048 field_48 dq ?
00000050 field_50 dq ?
00000058 field_58 dq ?
00000060 field_60 dq ?
00000068 field_68 dq ?
00000070 struc_1 ends

选择使用 dq 来填充,一是程序是64位,二是先看看其效果,如果字段对不上的话,IDA会出现一些奇怪的伪代码,我们后面修复即可。

创建好结构体之后,我们将相关变量、参数的类型修改为该结构体:

  • 方法一:右键变量,Convert to struct * …

  • 方法二:Y 键,手动输入类型定义

我们,对 v1 使用结构体之后,伪代码如下:

v1 = (struc_1 *)operator new(0x70uLL);

同样的,将其他的变量与参数都改下。

在伪代码中,new 操作后面都会跟一个 sub_2602 函数,其第一个参数是我们创建的结构体类型,更改其类型后,该函数伪代码如下:

实际上 sub_2602 是构造函数。

我们在使用new operator的时候,实际上是执行了三个步骤:

1)调用operator new分配内存 ;2)调用构造函数生成类对象;3)返回相应指针。

unsigned __int64 __fastcall sub_2602(struc_1 *a1, __int64 a2, int a3, int a4, int a5, int a6)
{
  char v11; // [rsp+2Bh] [rbp-45h] BYREF
  int i; // [rsp+2Ch] [rbp-44h]
  char v13[40]; // [rsp+30h] [rbp-40h] BYREF
  unsigned __int64 v14; // [rsp+58h] [rbp-18h]

  v14 = __readfsqword(0x28u);
  std::string::basic_string(a1);
  std::string::basic_string(&a1->field_20);
  if ( a6 == 1 )
  {
    for ( i = 0; i <= 4; ++i )
      *((_DWORD *)&a1->field_48 + i + 1) = a3 / 2 * (i + 1);
    std::string::operator=(&a1->field_20, &unk_A1A0);
    a1->field_40 = 0LL;
    LODWORD(a1->field_48) = -1;
    LODWORD(a1->field_60) = a4;
    HIDWORD(a1->field_60) = a5;
    LODWORD(a1->field_68) = a4 / 2;
  }
  HIDWORD(a1->field_68) = a6;
  std::allocator<char>::allocator(&v11);
  std::string::basic_string(v13, a2, &v11);
  std::string::operator=(a1, v13);
  std::string::~string(v13);
  std::allocator<char>::~allocator(&v11);
  return __readfsqword(0x28u) ^ v14;
}

会发现,伪代码里面出现了 LODWORD HIDWORD 这种代码。

这是因为field_48\field_60\field_68 都是 DWORD 类型的字段,而我们定义结构体使用的是 dq,所以我们需要将结构体字段进行拆分:

  • 在有问题的字段上按下 d 键,切成 dd

最终结构体如下:

00000000 struc_1 struc ; (sizeof=0x70, mappedto_9)
00000000 field_0 dq ?
00000008 field_8 dq ?
00000010 field_10 dq ?
00000018 field_18 dq ?
00000020 field_20 dq ?
00000028 field_28 dq ?
00000030 field_30 dq ?
00000038 field_38 dq ?
00000040 field_40 dq ?
00000048 field_48 dd ?
0000004C field_4C dd ?
00000050 field_50 dq ?
00000058 field_58 dq ?
00000060 field_60 dd ?
00000064 field_64 dd ?
00000068 field_68 dd ?
0000006C field_6C dd ?
00000070 struc_1 ends

调整完成之后,回到伪代码界面,按 F5 刷新伪代码,发现奇怪的指令正常了:

unsigned __int64 __fastcall sub_2602(struc_1 *a1, __int64 a2, int a3, int a4, int a5, int a6)
{
  ...
    for ( i = 0; i <= 4; ++i )
      *(&a1->field_4C + i) = a3 / 2 * (i + 1);
    std::string::operator=(&a1->field_20, &unk_A1A0);
    a1->field_40 = 0LL;
    a1->field_48 = -1;
    a1->field_60 = a4;
    a1->field_64 = a5;
    a1->field_68 = a4 / 2;
  ...
}

继续观察伪代码,发现循环里面,有对 field_4C 进行循环访问,而且比较像是对数组做访问。所以我们可以将 field_4C 改成一个数组,其大小为 5:

0000004C field_4C dd 5 dup(?)

再刷新伪代码:

for ( i = 0; i <= 4; ++i )
      a1->field_4C[i] = a3 / 2 * (i + 1);

回到 sub_2A83 函数中:

  v0 = operator new(0x70uLL);
  sub_2602(v0, "Arbington", 0LL, 0LL, 0LL, 0LL);
  qword_A1C0 = v0;
  v1 = (struc_1 *)operator new(0x70uLL);
  sub_2602(v1, "Bredwardine", 0LL, 0LL, 0LL, 2LL);
  qword_A240 = (__int64)v1;
  v2 = operator new(0x70uLL);
  sub_2602(v2, "Dangarnon", 0LL, 0LL, 0LL, 2LL);
  qword_A2C0 = v2;

每次 new 出来的对象,都赋值给了一个全局的地址 qword_A1C0/qword_A240/qword_A2C0等等,大概过一遍所有的地址,发现这是一个指针数组,元素间隔为8。

我们将 qword_A1C0 定义成指针数组:

struc_1 *qword_A1C0[64];

在 qword_A1C0 建立一个数组,刷新伪代码:

v0 = (struc_1 *)operator new(0x70uLL);
sub_2602(v0, (__int64)"Arbington", 0, 0, 0, 0);
qword_A1C0[0] = v0;
v1 = (struc_1 *)operator new(0x70uLL);
sub_2602(v1, (__int64)"Bredwardine", 0, 0, 0, 2);
qword_A1C0[16] = v1;

回到 main 函数:

sub_28BA(&unk_A3C0, 0LL);
sub_28BA(&unk_A440, 1LL);

有两个全局变量的引用,它们之间相差 0x80。使用交叉引用看一下其他位置对这两个变量的引用,使用了同一个函数,可以知道这两个变量是同一个类型。

猜测它是一个结构体,且结构体大小为0x80。当然改的时候记得备份一下,万一猜错也好恢复,虚拟机就直接来个快照就好了。

建立一个0x80大小的结构体,将 sub_28BA 的 a1 参数转换为该结构体指针类型,做一下字段修复,刷新伪代码:

unsigned __int64 __fastcall sub_28BA(struc_2 *a1, int a2)
{
  char v3; // [rsp+1Fh] [rbp-41h] BYREF
  char v4[40]; // [rsp+20h] [rbp-40h] BYREF
  unsigned __int64 v5; // [rsp+48h] [rbp-18h]

  v5 = __readfsqword(0x28u);
  if ( a2 )
  {
    std::allocator<char>::allocator(&v3);
    std::string::basic_string(v4, "AI", &v3);
    std::string::operator=(a1, v4);
    std::string::~string(v4);
    std::allocator<char>::~allocator(&v3);
  }
  else
  {
    puts("what's your name?");
    std::operator>><char>(&std::cin, a1);
  }
  memset(&a1->field_20, 0, 0x40uLL);
  a1->field_60 = 0x927C000000000LL;
  a1->field_68 = 0;
  return __readfsqword(0x28u) ^ v5;
}

要修复这个结构体,我们还需要更多信息,所以,我们去看看其他引用该结构体的函数 sub_29CA,将结构体继续修复(将field_60进行拆分):

00000000 struc_2 struc ; (sizeof=0x80, mappedto_10)
00000000 field_0 dq ?
00000008 field_8 dq ?
00000010 field_10 dq ?
00000018 field_18 dq ?
00000020 field_20 dq ?
00000028 field_28 dq ?
00000030 field_30 dq ?
00000038 field_38 dq ?
00000040 field_40 dq ?
00000048 field_48 dq ?
00000050 field_50 dq ?
00000058 field_58 dq ?
00000060 field_60 dd ?
00000064 field_64 dd ?
00000068 field_68 dd ?
0000006C field_6C dd ?
00000070 field_70 dq ?
00000078 field_78 dq ?
00000080 struc_2 ends

接下来我们尝试恢复结构体字段的名字,主要是依靠程序里面的输出字符串。

首先将,全局变量改为我们创建的结构体类型,这样IDA会将对结构体字段的引用都显示到伪代码里面,否则只会展示一个全局的地址,按 Y 键设置全局变量的类型为 struc_2:

sub_28BA(&global_struct1, 0);
sub_28BA(&global_struct2, 1);

再看 sub_4B43 这个函数,我们可以看到一些直接对结构体字段的引用:

printf("your money: %d\n", (unsigned int)global_struct1.field_64);

像这样的代码,我们就可以知道,field_64 的字段名应该是 money。

printf("%s throw %d, now location: %d, %s\n", v2, v4, v1, v0);

v1 是 field_68,所以其名字是 location。

sub_27EA(qword_A1C0[global_struct1.location]);

该函数传递进去了一个数组元素,我们知道,qword_A1C0 是一个指针数组,所以其参数应该是  struc_1 类型:

int __fastcall sub_27EA(struc_1 *a1)
{
  const char *v1; // rax

  v1 = (const char *)std::string::c_str(&a1->field_20);
  printf("owner: %s\n", v1);
  printf("worth: %d\n", (unsigned int)a1->field_60);
  if ( (unsigned __int8)sub_54B4(&a1->field_20, &unk_A1A0) )
    return printf("toll_road: %d\n", (unsigned int)a1->field_64);
  else
    return printf("toll_road: %d\n", (unsigned int)a1->field_4C[a1->field_48]);
}

这里又可以修复一些变量名。

再进入到函数 sub_45DF,里面有一行代码:

*(_DWORD *)(qword_A1C0[global_struct1.location]->field_40 + 100) += v4;

我们使用快捷键 CTRL + ALT + X,查看全局对 field_40 这个字段的交叉引用:

可以看到这个字段是一个结构体指针类型,修复其类型之后,代码如下:

qword_A1C0[global_struct1.location]->field_40->money += v4;

再看该函数的这一段:

puts("property idx>>");
v3 = sub_43D1();
if ( v3 >= global_struct1.field_60 )
{
  puts("invalid idx!");
  return 1LL;
}
sub_452F(*((unsigned __int8 *)&global_struct1.field_20 + v3));

sub_43D1 应该是一个读取输入的函数,不用分析。

v3 是我们输入的 index。

field_60 是 index 的上边界。

field_20 有对 index 做操作,所以怀疑它是一个数组,搜索一下其交叉引用:

memset(&a1->field_20, 0, 0x40uLL);

有一个地方初始化了该数组,数组大小为 64。再次刷新代码:

puts("property idx>>");
index = sub_43D1();
if ( index >= global_struct1.max_index )
{
  puts("invalid idx!");
  return 1LL;
}
sub_452F((unsigned __int8)global_struct1.field_20[index]);

虚表分析

虚表理论知识之前讲过了,这次实操一下(实验材料:vtable)。

过程非常的套路化:

  • 找到一个虚表的函数表

  • 创建虚表结构体 vtable

  • 创建对象结构体,并将第一个成员的类型设置成虚表指针

修复后能看到正常函数名了(Ctrl+alt+X 也能进行交叉引用)。

void __fastcall xiaoming::xiaoming(object *this)
{
  peopele::peopele((peopele *)this);
  this->vt = (vtable1 *)off_3CF8;
}

从这里我们可以判断,xiaoming 是继承了 people。

.data.rel.ro:0000000000003CE8
.data.rel.ro:0000000000003CE8                               ; Segment type: Pure data
.data.rel.ro:0000000000003CE8                               ; Segment permissions: Read/Write
.data.rel.ro:0000000000003CE8                               _data_rel_ro segment qword public 'DATA' use64
.data.rel.ro:0000000000003CE8                               assume cs:_data_rel_ro
.data.rel.ro:0000000000003CE8                               ;org 3CE8h
.data.rel.ro:0000000000003CE8                               public _ZTV8xiaoming ; weak
.data.rel.ro:0000000000003CE8                               ; `vtable for'xiaoming
.data.rel.ro:0000000000003CE8 00 00 00 00 00 00 00 00       _ZTV8xiaoming dq 0                      ; DATA XREF: LOAD:0000000000000710↑o
.data.rel.ro:0000000000003CE8                                                                       ; offset to this
.data.rel.ro:0000000000003CF0 58 3D 00 00 00 00 00 00       dq offset _ZTI8xiaoming                 ; `typeinfo for'xiaoming
.data.rel.ro:0000000000003CF8 C8 12 00 00 00 00 00 00       off_3CF8 dq offset _ZN8xiaoming5printEv ; DATA XREF: xiaoming::xiaoming(void)+1C↑o
.data.rel.ro:0000000000003CF8                                                                       ; xiaoming::print(void)
.data.rel.ro:0000000000003D00 06 13 00 00 00 00 00 00       dq offset _ZN8xiaoming3eatEv            ; xiaoming::eat(void)
.data.rel.ro:0000000000003D08 58 13 00 00 00 00 00 00       dq offset _ZN8xiaoming5sleepEv          ; xiaoming::sleep(void)
.data.rel.ro:0000000000003D10 AA 13 00 00 00 00 00 00       dq offset _ZN8xiaoming4workEv           ; xiaoming::work(void)
.data.rel.ro:0000000000003D18 FC 13 00 00 00 00 00 00       dq offset _ZN8xiaoming3dayEv            ; xiaoming::day(void)

找到 vtable 后,我们创建对应的结构体:

00000000 vtable1 struc ; (sizeof=0x28, mappedto_11)
00000000 print dq ?
00000008 eat dq ?
00000010 sleep dq ?
00000018 work dq ?
00000020 day dq ?
00000028 vtable1 ends
00000028
00000000 ; ---------------------------------------------------------------------------
00000000
00000000 object struc ; (sizeof=0x28, mappedto_12)
00000000 vt dq ?                                 ; offset
00000008 field_8 dq ?
00000010 field_10 dq ?
00000018 field_18 dq ?
00000020 field_20 dq ?
00000028 object ends
00000028

然后将伪代码的对应变量设置成结构体类型即可。

总结

结构体修复

  • 使用程序中的字符串来恢复字段名

  • 使用全局交叉引用来确定字段类型

二手的程序员
关注
  • 34
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA系列--高级技巧--数据结构
Tasfa的博客
10-09 1100
当源码的函数中使用了结构体类型的变量时,反汇编代码中对于结构体中成员的获取往往都是通过一个`指针 + offset`来获取的。对于阅读源码静态分析极其麻烦,因此需要创建数据结构简化分析
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
9.IDA-重新设置函数类型、创建数组结构
hgy413的专栏
06-16 7499
重新设置函数类型 写一个简单的代码做测试: int fun(int a, double b) { return 0; } int _tmain(int argc, _TCHAR* argv[]) { int c = fun(1, 2); return 0; } release生成,去掉pdb,由于fun内部没有任何操作,所以IDA是无法通过类型传播来得到正确的函数参数和数据类型的,默认
IDA静态逆向工具详解二
深耕安全技术研究
02-22 1775
文章目录1.栈帧2.调用约定3.栈帧详解 1.栈帧 栈帧(stack frame)栈帧是在程序的运行时栈中分配的内存块,专门用于特定的函数调用。 栈帧(激活记录)调用函数的详细步骤 2.1.调用方将被调用函数所需的参数放入到该函数所采用的调用约定指定的位置。如果参数被放到运行时栈上,该操作可能导致程序的栈指针发生改变。 2.2.调用方将控制权转交给被调用的函数,这个过程常由X86 CALL或MIPS JAL等指令执行。然后,返回地址被保存到程序栈或CPU寄存器中。 2.3.如果有必要,被调用的函数会
IDA学习笔记1
weixin_30596343的博客
07-11 460
打开IDA,拖拽一个EXE文件进去,首先会弹出如下窗口: Kernel option1、Kernel option2、Processor option这三个选项会控制反汇编引擎的工作状态,一般按默认即可,大多数情况下,分析选项的默认值在准确性和方便性之间提供一个折中参数,如果IDA分析出有问题的代码时,把Kernel option1中的选项Make final analysis pa...
IDA逆向技巧之美
游戏开发、游戏引擎开发、逆向破解爱好者
10-06 2755
IDA的逆向分析水平就是一个逆向工程师的水平; 7.1 IDA与OD的联合使用 一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。 需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA中查找代码位置,具体方式如下: Edit ---> Segment ----- Rebase Program : 设置基地址; 在WINdbg中基地址在“符号”中查看;在OD中基...
ida修复函数名
qq_26394845的博客
09-21 564
ida修复函数名。
IDA-Pro-7.7-全插件版
07-09
IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA ...
IDA Pro权威指南-第二版
12-20
IDA 是一款即装即用的强大工具,可扩展性是它最大的优点之一,这些年来,用户利用这一优点让IDA 完成了一些非常有趣的任务” 摘录来自: Chris Eagle. “IDA Pro权威指南(第2版)
IDA-pro-7-for-Catalina-OSX-15
03-21
IDA-pro-7-for-MAC-15- 起因 IDA在MAC 10.15即Catalina上安装会报错,具体见 解决方案 在Mojave上安装之后拖入Catalina。 这个仓库的意义 提供一份本人​​已经在Mojave上安装好的IDA,亲测在Catalina上可用。 链接...
安卓逆向—反调试汇总
contrary_的博客
04-28 1261
给大家介绍一下反调试汇总的原理及实现方式,以及各种反调试的扩展 反调试汇总: 针对于一些大型apk 反调试不一定是让你不能调试 -> 让你得到一个错误的结果 逆向某一个算法 传参 中间会根据一些数据运算 如果检测到反调试 计算错误 **1.IDA调试端口检测** 监测android_server文件端口信息 默认的23946(5D8A) 更改端口 31927 -> 过掉此反调试 **2.调试器进程名检测** 监测android_server gdbserver gdb等进程
解决应用的反调试方案解析(修改IDA调试端口修改内核信息)
键盘的起始页
11-11 2245
一、前言 在前一篇文章中详细介绍了 Android现阶段可以采用的几种反调试方案策略,我们在破解逆向应用的时候,一般现在第一步都回去解决反调试,不然后续步骤无法进行,当然如果你是静态分析的话获取就没必要了。但是有时候必须要借助动态调试方可破解,就需要进行操作了。现阶段反调试策略主要包括以下几种方式: 第一、自己附加进程,先占坑,ptrace(PTRACE_TRACEME, 0, 0,
ida查看so代码,并修改的方法
热门推荐
xiuzhentianting的博客
10-29 1万+
1、用ida打开so文件,选项里面是:    elf for arm      下面是 metaPC 2、在左边找到要修改的函数,双击打开,F5可以看C的伪代码 3、从函数开始到ida注释的 End of function ... 就是函数代码部分。指令地址就是文件开始地址,可以用winhex编辑文件来改动指令,1个指令1般是从ida指定的地址开始,占用2个或4个字节。 4、如果要清空函数
IDA 显示函数名称技巧
Safedebug的博客
12-01 7037
IDA中,我们可以经常看到这种   all memset push esi ; unsigned int call ??_U@YAPAXI@Z ; operator new[](uint) push esi ; Size push 0 ; Val push eax
【逆向学习记录】IDA&GDB工具使用技巧
卦星的专栏
06-07 1956
1 概述 最近在学习逆向的过程中,有时候IDA 的使用还是有不少技巧的,因为用的少,极其容易忘记,因此写一篇文章在此记录一下 2 IDA使用技巧 2.1 重构结构体 2.2 反调试绕过 ...
IDA创建结构体方法
qq_33163046的博客
04-20 1万+
1. ida是最好用的逆向分析工具 2.问题 如果你在使用IDA分析时遇到大量的结构体指针偏移形式的变量,肯定想根据自己的分析重命名结构体各项。 3.定义结构体 这是需要先找到结构体初始化的地方 这里记录了每一项的偏移量,记录了结构体总大小Ox110uLL。 我们要根据这个结构体初始化函数来定义该结构体 在IDA中打开Structures,快捷键是shifr+ F9 ,然后按insert键,进行插入。 在ends 后按d键,添加相应的成员,然后选中成员名,按N进行修改,选中类型
EasyRE WriteUp
Tigger.run 独立开发者 热爱逆向工程
05-16 1059
运行 运行提示输入,回车后即退出 查壳
13.IDA-显示正确的函数名称(去掉c++后缀命名)
hgy413的专栏
01-26 7967
随便看一段IDA的反汇编: C++编译器用于区分重载函数的机制。为了给重载函数生成唯一的名称,编译器用其他字符来修饰函数名称 图左就是C++的后缀命名法,图右是正常的函数名字 为了显示正常的函数名字,使用Options▶Demangled Names 比如,我们选中Names,反汇编将显示为: 附 如果一个二进制文件使用了后缀命名,IDA的取消改编功能会立即展示函数的参数类型和返回
ida-pro 解密
最新发布
12-23
ida-pro是一款强大的反汇编软件,可以用于逆向工程和解密。使用ida-pro进行解密的过程通常包括以下几个步骤。 首先,需要打开要解密的文件,ida-pro能够识别并展示文件的汇编代码,以及包括函数、变量和控制流图在内的相关信息。 其次,需要分析文件的结构和逻辑,以便理解程序的运行过程和数据处理方式。这个过程可以通过ida-pro提供的图形化界面和交互式工具来进行。 接下来,通过ida-pro的反编译功能,将汇编代码转换为高级语言代码,这有助于理解程序的逻辑和算法,从而更好地进行解密操作。 在解密过程中,可以使用ida-pro的调试功能来动态分析程序的执行状态,监视内存和寄存器的变化,以及跟踪程序的具体执行路径,从而更好地理解程序的运行逻辑。 最后,根据反汇编和分析的结果,可以对程序进行修改和调试,以实现解密的功能或者获取程序的关键信息。 总的来说,ida-pro是一款功能强大的工具,可以在逆向工程和解密过程中发挥重要作用,帮助研究人员和安全专家理解程序的内部机制,并进行相关的操作和修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值