读<<IDA pro权威指南>>之动态计算目标地址

最新推荐文章于 2023-03-21 16:48:10 发布
最新推荐文章于 2023-03-21 16:48:10 发布
阅读量267 收藏
点赞数
原文链接:https://my.oschina.net/Yuqingmu/blog/393245
版权

<<IDA pro权威指南>> p348页,另一种技巧常用于面向Windows的恶意软件中,它配置一个异常处理程序,并有意触发一个异常,然后在处理异常时操纵进程的寄存器状态。

下面的例子被tElock反逆向工程工具用于隐藏程序的真实控制流。

00535FC2    E8 00000000     call    00535FC7
00535FC7    5D              pop     ebp                              ;相当于ebp = 00535FC7
00535FC8    8D45 46         lea     eax, dword ptr [ebp+46]          ;0053600D
00535FCB    45              inc     ebp
00535FCC    50              push    eax                              ; push 后,esp = 0018FB58
00535FCD    33C0            xor     eax, eax
00535FCF    64:FF30         push    dword ptr fs:[eax]               ; push 后,ESP = 0018FB54
00535FD2    64:8920         mov     dword ptr fs:[eax], esp          ;fs:[0] = 0018FB54
00535FD5    90              nop
00535FD6    F7F1            div     ecx                              ;引发除0异常
00535FD8    0000            add     byte ptr [eax], al
00535FDA    0000            add     byte ptr [eax], al
00535FDC    90              nop

执行完 00535FD6后,程序引发异常,堆栈如下:

121624_LQH2_1044317.png

可以看到0018FB54栈上存放指向一个SEH记录的指针

             0018FB58指向一个SE处理程序的指针

而这个刚好满足_EXCEPTION_REGISTRATION_RECORD结构

0:003> dt _EXCEPTION_REGISTRATION_RECORD

ntdll!_EXCEPTION_REGISTRATION_RECORD

   +0x000 Next             : Ptr32 _EXCEPTION_REGISTRATION_RECORD

   +0x004 Handler          : Ptr32     _EXCEPTION_DISPOSITION 

也即0053600D为事先注册的SEH异常处理程序的地址,0018FB5C为指向下一个SEH记录的指针

这样也达到了必须计算才能跟踪程序流程的目的,隐藏了程序的真实控制流。

转载于:https://my.oschina.net/Yuqingmu/blog/393245

chengkou8481
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ida 遇到的 sub_地址 问题
Flyour的博客
06-17 6263
在使用ida 分析 .sys文件时,发现几乎所有的函数名都是 sub_地址 的形式,和别人的不一样,一开始没想明白为什么? 后来查了一下,发现是因为.sys文件里没有符号表导致的。 为什么会没有符号表呢?一般的可执行文件或库文件都会有符号表,但符号表会占据一定的体积。所以为了减小内核的体积,会把符号表去除。 要想进行分析,我们就要拿到符号表,而windows 的符号表其实可以从网上下载...
IDApro权威指南》个人学习笔记
10-11
IDApro权威指南》个人学习笔记是关于IDApro反汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款功能强大的反汇编工具,它可以对...
IDA Pro权威指南(第二版)中文完美版.pdf
06-21
IDA Pro权威指南(第二版)中文完美版,讲得很详细,功能很齐全。
IDA基本使用
热门推荐
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-19 2万+
IDA基本使用,零基础,新手友好,重点使用摘要。ida文件加载,IDA桌面简介,交叉引用,IDA动态调试,IDA脚本
【逆向基础】四、IDA使用技巧随记
幸福之家的博客
03-21 959
计算PE文件偏移地址
1.IDA-基本操作(改变Image Base地址、打开、保存IDA的不同方式)
hgy413的专栏
09-01 1万+
启动                启动IDA,会出现以下对话框: New:启动一个标准的File Open对话框,让你选择 Go:打开一个空白工作区,这时只需把二进制文件直接拖入到IDA工作区 Previous:打开最近用过的文件中一个   加载文件                    拖入文件后,会弹出一个加载对话框,如果未识别文件,则默认为Binary File为唯一选项
ida显示地址
weixin_45780275的博客
11-10 3964
ida显示地址 显示这样是因为用的IDA Pro (64-bit)
idaIDA工具常见利用
qcwwww的博客
07-11 1009
整理一下个人的常用命令:shift + 12 显示字符串按下回车上面的 \ ,转义符,就可隐藏ida对变量类型的标注/ ,在该行添加注释双击变量看变量地址或者进入函数ctrl+s 看各种区段的地址F5一键反汇编x:对变量或函数按x查看上级调用n:对变量按下 n ,对变量进行重命名g:跳转到程序中的指定地址或者指定函数名ALT+T:搜索文本ALT+B:搜索16进制粉红色标识的为libc中的函数 白色标识的为代码中的函数C语言数组和指针: 例:list[1] = *(list +1) 即数组+下标表示
IDA Pro权威指南 随书源码
10-24
IDA Pro(交互式反汇编器专业版...在IDA Pr0创建者Ilfak的协助下问世的这《IDA Pro权威指南》,完美地弥补了这一缺憾。C卜¨1s的理论被业界公认为是权威且令人信服的。而他的模拟器也是公开发布的IDA插件中最棒的一款。
IDA Pro权威指南 (第2版) + 源码 + 深度探索C++对象模型 2012 中文
05-14
IDA Pro权威指南 (第2版)图书附带资料 IDA Pro权威指南 (第2版)图书附带资料 IDA Pro权威指南 (第2版)图书附带资料
IDA Pro权威指南(第二版).pdf
02-17
IDA Pro权威指南(第二版).pdf 《IDA Pro指南(第2版)》共分为六部分,首先介绍了反汇编与逆向工程的基本信息和IDA Pro的背景知识,接着讨论了IDA Pro的基本用法和高级用法,然后讲解了其高扩展性及其在安全领域的...
4.IDA-导航(跳转到地址、导航按钮、栈帧、调用约定、局部变量布局、IDA的栈视图)
hgy413的专栏
11-07 7784
跳转到地址 使用Jump▶Jump to Address命令或在处于活动状态的反汇编窗口中按下热键G,均可以打开Jump to Address对话框,如果把这个对话框看成Go对话框,可能有助于你记住相关的热键。 IDA会记住你在这个对话框中输入的值,并通过一个下拉列表显示,以方便你随后使用 导航按钮(导航历史) 导航按钮,每个按钮旁边还有一个历史记录下拉列表,你
IDA动态调试两种方式
qq_33364733的博客
08-08 1万+
第一种 安卓自带模拟器(必须要是arm的模拟器,市面上的第三方模拟器都是x86的)运行程序,可在sdk安装目录下创建arm模拟器以及启动,方式自行百度即可: 启动后的模拟器是这样的: 将android_server文件放到创建的arm模拟器下,该文件在IDA安装目录下: 方式:打开cmd.exe,输入adb push android_server文件路径 /data/loc...
IDA Pro查找引用导入函数的位置
跃然实验室
06-08 8837
按名字排序 双击函数名,进入数据段 选定字符串,右键,选择Jumptoxref to Operand 出现所有引用信息,选择查看
B与BL跳转指令目标地址计算方法
MUYI的博客
06-02 8708
1、关于B(跳转指令)与BL(带返回的跳转指令):B指令与BL指令均能使指令跳转到目标地址,两个指令和目标地址处的指令都属于ARM指令集。不同的是,B指令只会执行跳转操作;BL指令在跳转的同时还会将PC寄存器的值保存到LR寄存器中。指令的编码格式:指令的语法格式:B{L}{&lt;cond&gt;}&lt;target_address&gt;其中:●    L决定是否保存返回地址。但有L时,当前P...
地址的偏移量
xiaopang_yan的博客
08-22 4042
#include #include #include int main() { int a[5] = {1,2,3,4,5}; int *ptr = (int *)(&a+1); printf("%d\n%d\n",*(a+1),*(ptr-1)); printf("%x\n%x\n", a, ptr); getchar(); return 0; } 运行结果 2 5
0.asm-call与jmp机器码取地址计算
xqhrs232的专栏
08-03 1175
原文地址::http://blog.csdn.net/hgy413/article/details/7791400 1.CALL立即数 CALL后面跟一个立即数,也就是32位偏移量时,机器码为 0XE8 后面的32位立即数是偏移量. 偏移量的计算: 目标偏移地址 减 CALL 指令后的下一条指令的地址 如下: [cpp] view
静态分析:IDA逆向代码段说明 text、idata、rdata、data
u012786754的专栏
12-17 3423
一、定义:重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程,也就是说在装入时对目标程序中指令和数据的修改过程。他是实现多道程序在内存中同时运行的基础。重定位有两种,分别是动态重定位与静态重定位 二、分类 1、静态重定位:即在程序装入内存的过程中完成,是指在程序开始运行前,程序中的各个地址有关的项均已完成重定位,地址变换通常是在装入时一次完成的,以后不再改变,故成为静态
倍加福ENA58IL-R-ProfiNET手册(译文)
最新发布
07-11
本手册描述了配备PROFINET接口的Pepperl+Fuchs绝对旋转编码器如何集成到PROFINET网络中。 本手册适用于以下绝对旋转编码器类型: ■■Exx58N-...PN... ■Exx58N-。。。请注意。。。 ■■ENA58IL-...B17 ■ENA58IL-。。。B17
idapro权威指南
01-25
idapro是一款专业的跨境电商平台,提供全方位的服务和指导,帮助用户开展国际业务。idapro权威指南主要包括以下内容: 一、跨境电商政策解:详细介绍各国家的跨境电商政策,包括进口报关、出口退税、贸易合规等内容,帮助用户了解并遵守当地政策法规。 二、商品选品指南:针对不同国家市场的消费特点和需求,提供商品选品建议和市场分析,帮助用户选择适合的产品,提升销售效果。 三、渠道选择建议:介绍不同的跨境电商销售渠道,如亚马逊、速卖通、wish等,分析各渠道的优势和劣势,帮助用户选择合适的销售渠道。 四、营销推广策略:分享跨境电商营销推广的最佳实践,包括社交媒体营销、搜索引擎优化、海外广告投放等策略,帮助用户提升品牌知名度和销售额。 五、售后服务规范:介绍跨境电商售后服务的相关法规和标准,帮助用户建立完善的售后体系,提升客户满意度和品牌口碑。 总之,idapro权威指南致力于帮助用户全面了解和把握跨境电商的政策、市场、渠道和营销策略,为用户提供全方位的支持和指导,助力用户顺利开展国际业务,提升竞争力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值