IDA调试干货

1、 IDA中各种命名前缀（sub、loc、offset等）的含义

IDA自动生成假名字。他们用于表示子函数，程序地址和数据。根据不同的类型和值假名字有不同前缀

 

sub_ 指令和子函数起点
locret_ 返回指令 
loc_ 指令
off_ 数据，包含偏移量
seg_ 数据，包含段地址值
asc_ 数据，ASCII字符串
byte_ 数据，字节（或字节数组）
word_ 数据，16位数据（或字数组）
dword_ 数据，32位数据（或双字数组）
qword_ 数据，64位数据（或4字数组）
flt_ 浮点数据，32位（或浮点数组）
dbl_ 浮点数，64位（或双精度数组）
tbyte_ 浮点数，80位（或扩展精度浮点数）
stru_ 结构体(或结构体数组)
algn_ 对齐指示
unk_ 未处理字节

2、在graph view里显示offset

先切换到graph view，然后在菜单上的“Options”、“General”里勾选

 

点击ok，即可看到效果

 

可以看到，多了前面的地址，这样就不用再graph view和text view之间来回切换了。

2、Rebase Program

刚开始进行逆向分析的时候，我们就接触到这个公式

 

偏移后模块基地址 = 偏移前模块基地址 + ASLR偏移

我们在每次下断点的时候，都是通过先手工在IDA里查看的偏移前模块基地址，再手工在LLDB里查看ASLR偏移，最后手工在计算器里将两者相加的方式来计算偏移后模块基地址的，虽然结果可以保证100%正确，但操作流程稍有些复杂，特别是每次计算偏移后模块基地址，每次copy，copy，然后add，这样真的超级烦超级烦有木有？那么，有没有简单的方法呢？

接下来，我们一起看看，如何才能只手工操作一次，就可以搞定所有断点的地址。那就是让IDA直接显示计算好的偏移后模块基地址。

1) 首先在LLDB里查看待分析模块的ASLR偏移

 

(lldb) image list -o -f
[  0] 0x00000000000a0000 /var/containers/Bundle/Application/046BD91B-E9FB-4C77-8EC3-908237232716/TargetApp.app/TargetApp(0x00000001000a0000)
...

这里ASLR偏移是0x00000000000a0000。

2) 打开IDA设置rebase program

首先将鼠标光标点击到IDA右边的界面，这样才会有我们需要设置的选项。

在菜单上的“Edit”、“Segments”、“Rebase program...”里将“Value”的值加上TargetApp的ASLR偏移，

 

我们可以看到起始的地址是0x100000000

加上ASLR偏移地址

 

点击ok，这里需要等待一会。完成之后现在IDA里面的地址就是我们想要的偏移后模块基地址了，就可以直接拿来用了。

我们走起一个试验一下：

我们在右边IDA view里搜索方法名onClickButtonPressed，对这个方法进行下断点

 

搜索匹配到：

 

然后我们在调试的时候lldb下断点

 

(lldb) br delete
About to delete all breakpoints, do you want to do that?: [Y/n] y
All breakpoints removed. (4 breakpoints)
(lldb) br s -a '0x0000000100558270'
Breakpoint 21: where = lagouhr_appstore`-[LGNavigateCompanyInfoViewController onClickButtonPressed:], address = 0x0000000100558270
(lldb) 

ok，可以看到下面断点的方法就是我们搜索的方法名。