ida pro 使用F5碰到的陷阱与总结

最新推荐文章于 2024-05-28 07:47:53 发布
最新推荐文章于 2024-05-28 07:47:53 发布
阅读量2.3k 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feekee/article/details/121036665
版权

姑且称之为“陷阱”吧,如下,直接上代码:

最近在做Flare-7 的break这道题,算是对linux下没有采用vm保护技术的crackme的一种挑战,遇到了下述的代码:

上图红色部分,明显执行时会报错;这是break这个crackme采取的一种机制,sub_0804C369这个进程是有另一个进程attach它的,并接收它的信号,进行相应的处理。上图红色部分会报SIGSEGV信号,查看调试它的进程的代码,如下:

 可以看到,V34是栈保存的下一条指令,v33就是第一张图中的&loc_804c3c4,v32保存的是第一张图中的&v5,初始是0。那么调试进程的第二张图的代码的意思就是跳转回loc_804c3c4进行执行,直到第16次碰到MEMORY[0](&loc_804C3C4, &v5),则结束循环。

这就是这个crackme与常规程序不一样的地方之一,

我们要说的F5出的问题在哪呢? 这也是我还太缺乏调试经验,我们可以看到loc_804c3c4这里的汇编代码是这样子的:

 

而我们之前在第一张图里看到的F5自动逆向过来的伪代码是chmod(a4,back)。

所以说,这里F5插件有一些指令没有做逆向,或者他可能认为无用忽略了吧:)害的我这逆向新入门的新手,对着F5代码写了个计算这个crackme的password中间部分的算法,结果不是希望得到的。

--------------------------------------------------------------------------------------------------------------------------

接着上面的,经过测试,应该是因为这段代码中一开始[ebp+v5]=0,所以后面那些指令计算的结果都是0,F5翻译过来也没有必要。因为F5不会帮我们去自动翻译那个MEMORY[0](&loc_804C3C4, &v5)循环,所以它确实没必要翻译这一段。这也告诉我们,以后如果遇到这种技巧,还是要人工看一下汇编代码,才能做到对机器语言翻译的正确。如下图,

把[ebp+v5]手动改为1,

 再按F5看一下,结果就发生变化了

因为F5识别不了这种循环,所以只能翻译成这个样子了。总之,F5是没有问题的。

 

feekee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ida pro 7.0安装插件retdec
love_wjk的博客
10-09 3837
安装retdec-idaplugin 下载 retdec-idaplugin v0.7 下载并解压后,将里面的retdec.dll放到ida的plugins目录下 安装retdec反编译工具 下载 retdec v3.2 配置 打开IDA 点击About program… 然后一路ok下去,再点击[options] -> [retdec Plugin Settings] 配置好python解释器以及反编译器以后,可以使用快捷键[ctrl+D]反编译代码 ps:本人亲测,IDA Pro 7.0中
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言
12-28
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言 将压缩包解压,plugins中的文件放入IDA安装目录中的plugins文件夹,替换其余文件。 在打开时直接OK,选择文件,按F5同时双击函数,即可得到对应C语言代码
IDA详细使用教程,适合逆向新手的实验报告
最新发布
qq_53058639的博客
05-28 1283
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。一、软件介绍IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA
IDA小技巧之——F5不能出现伪代码
热门推荐
NoOneGroup
10-04 4万+
博客已经转移 https://noone-hub.github.io/ 打开ida,打开一个文件,我用的是安恒月赛的一个文件,出现 postive sp value has been found ,这个问题其实干扰我很久了,然后网上的很多说平衡堆栈,平衡平衡,发觉一个很长的函数,用手去计算堆栈吗,显然不是的,网上又没解释清楚,然后今天我搞懂了,就分享一下,进入正文: 首先打开optio...
ida pro 使用F5碰到陷阱总结(二)
feekee的自留研习地
10-30 888
前面写遇到了一个陷阱, 这里记录一下另一个v5(&loc_804C257, &v4);(其中v5=0),是在函数0804c217中, 我们看下F5自动翻译会出现哪些问题,如上。 那么,我们把v5(&loc_804C257, &v4)这段汇编代码改一下,让F5再运行一遍,看一下结果。 最后一张图是重新执行F5后的伪代码,这里pivot_root(,)的第二个参数变成了flags,而不是原先的a1。这估计是因为F5插件在汇编代码更改以后,意识到了fl...
IDAF5不能出现伪代码
m0_63790435的博客
11-04 1651
解决方法:先右键点击“代码”,再右键点击“创建函数”,在按 F5 就可以查看伪代码了。
IDA F5 增强插件,还我源代码(一)
fenfei331的博客
07-12 3375
一、目标 许多年以后,面对IDAF5,奋飞将会想起,老李老板甩给他一本80x86汇编的那个遥远的下午。 那时的App的名字还叫exe、com。Asm程序员最后的荣光,就是面对黑洞洞的屏幕敲下DEBUG的那个不眠之夜。 后来App改名叫pe、elf了。IDA F5一下就是C程序员的狂欢,Asm程序员只能黯淡落幕了。默默的抱起小李老板新买的《C语言程序设计》。 时代的车轮呼啸而过,瑞士的同行给我们上了一课,ollvm一下,你妈都认不出来你了。 ollvm纪元都已经10年了,现在的混淆只有更狠,没有最狠。
IDA Pro 5.5 带 F5 插件
05-22
IDA Pro 5.5 EXE/DLL文件反编译工具,自带F5插件,带破解工具,有说明文件
IDApro权威指南》个人学习笔记
10-11
如果遇到不知道含义的汇编指令,可以使用IDApro的自动注释功能来识别它。 函数块 IDApro支持函数块操作,包括函数块的声明、初始化、访问等。IDApro可以自动识别函数块的类型、大小、元素类型等信息。 编译器优化...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
交互式反汇编器 IDA Pro
11-13
交互式反汇编器 IDA Pro (International Disassemble Professional) 使用前请先解压所有文件,并运行 IDAProHelper.exe 进行绿化 另请注意,others目录下面是一些附属文件,如下: 1.如果需要Python3.8支持,请安装...
IDA-SIG_idapro_
09-30
Collectoin of IDA Pro sig file
[Reverse]IDA使用保姆级指南
qq_24481913的博客
07-10 7897
IDA会出现两个图标,其中X64是用来反编译64位程序的,而X32是用来反编译32位程序的。常用的软件有exeinfope.exe或者使用IDA软件本身查看使用ida打开程序后会出现界面通常情况下,这个界面可以直接使用ok来继续,该界面主要是选择什么模式去解析该软件。IDA的主要界面如上所示左侧窗口为函数列表窗口,右侧窗口为IDA反汇编所得的汇编代码,最下侧窗口为文件在反汇编过程中的信息。
IDAF5反汇编伪代码错误Please use ida (not ida64) to decompile the current file
天道酬勤,地道酬善,人道酬诚,商道酬信,业道酬精
02-21 1832
IDA不能F5反汇编成为伪代码,提示WarningPlease use ida (not ida64) to decompile the current file不给我转伪代码,不让我用ida64,IDAF5反汇编伪代码错误
一个简单的 IDA f5插件问题分析
weixin_30414245的博客
10-27 973
有人提出问题,以下汇编f5结果缺失代码: .text:00000C18 Java_com_a_b_c .text:00000C18 PUSH {R3,LR} .text:00000C1A CMP R2, #2 .text:00000C1C BEQ loc_C38 .tex...
[笔记]逆向工具IDA Pro之简单使用
二次元怪兽的博客
05-21 3202
文章目录前言总结 前言 总结
解决 IDAF5转伪C笔记
Codeooo 博客
03-16 9949
可以使用之前推荐网站,进站指令码和汇编转化后,进行更改hex , F2保存;找到x9的地址,然后减去基地址也就是首地址,得到便宜地址;hook后地址,我们可以使用keyPath 去更改跳转;先使用 ADRP进站申明后,再清空后几位,进行 ADD;某app砸壳后放到IDA,根据堆栈查到该位置如下;BR 调到后面 x8 x9地址,汇编指令;后面无用指令,直接nop;
ida 反编译按F5没有出现伪代码
kelindame的专栏
06-21 3723
so和ida的位数不一致导致。
iDA Pro使用教程
05-04
iDA Pro 是一款非常强大的反汇编工具,它可以帮助用户对二进制程序进行反汇编、分析和修改。下面是使用 iDA Pro 的一些基本步骤和技巧。 1. 安装 iDA Pro 首先,你需要从 iDA Pro 官网(https://www.hex-rays.com/products/ida/)下载并安装该软件。iDA Pro 有免费版和付费版,免费版的功能相对较弱,付费版则功能更加完善。安装完成后,你可以打开 iDA Pro,开始使用它的功能。 2. 打开二进制文件 在 iDA Pro 中,你需要打开一个二进制文件,才能进行反汇编和分析。你可以通过菜单栏的“File”选项来打开一个二进制文件。iDA Pro 支持多种不同的文件格式,例如 ELF、PE、Mach-O 等。选择正确的文件格式很重要,否则会导致反汇编失败。 3. 分析程序结构 在打开一个二进制文件后,iDA Pro 会自动对程序进行反汇编,并展示反汇编结果。你可以在左侧的“Functions”窗口中查看程序中的函数列表,或者在右侧的“Disassembly”窗口中查看反汇编代码。iDA Pro 还支持对程序的控制流进行分析,你可以通过菜单栏的“View”选项来查看程序的控制流图。 4. 查找漏洞 通过分析程序结构,你可以尝试查找程序中的漏洞。例如,你可以查看程序中的函数调用和内存访问,寻找可能存在的缓冲区溢出、格式化字符串漏洞等。iDA Pro 还支持对程序中的字符串和常量进行搜索,你可以利用这个功能来查找可能存在的敏感信息、密码等。 5. 编辑程序 在查找漏洞后,你可能需要修改程序来修复漏洞或者实现其他目的。iDA Pro 支持对程序进行编辑,你可以在右侧的“Disassembly”窗口中直接修改反汇编代码,或者使用 iDA Pro 提供的高级编辑功能来修改程序。注意,修改程序可能会导致程序的崩溃或者其他不可预测的结果,所以一定要谨慎操作。 以上是使用 iDA Pro 的一些基本步骤和技巧。iDA Pro 是一款非常强大的工具,可以帮助你分析和修改二进制程序,但需要一定的反汇编和程序分析经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值