IDA出现不能进行F5,”F1EC:positive sp value has been found!!!!!“的解决方法

最新推荐文章于 2024-02-21 18:32:46 发布
最新推荐文章于 2024-02-21 18:32:46 发布
阅读量6.7k 收藏 10
点赞数
分类专栏: android逆向安全 Android 代码保护与逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feibabeibei_beibei/article/details/85238676
版权

IDA出现不能进行F5,”F1EC:positive sp value has been found!!!!!“的解决方法

一、在用IDA分析So文件,F5的时候经常会出现以上这种情况,这个时候可能是以下导致的:

1.栈sp不平衡:

比如360加固中的libjiagu.so中的虚拟机解释函数。

首先打开栈指针选项,在options--------->General--------------->Disassembly

这个时候G键跳到”F1EC“的地方:

可以看到是个负值,指向它的上一行”alt+k“,改为0x90。

接着再F5,同样的改10428处。

这个时候就能F5了。

 

 

2.干扰指令:

可能是ida对于一些干扰sp的指令错误判断,这个时候可以把这些错误的指令进行NOP以免影响IDA的正确分析,就可以F5了;

 

3.上下文导致的IDA分析卡住

IDA不能够得到控制流图以及不能F5

这个时候大部分是可以通过在函数的开头”P“来进行解决;同时也可以先选部分的代码进行"P",然后再F5,最后再把范围扩大这样就可以把整个的伪代码得到。

4.对于一些代码段,IDA错误的分析,出现一些错误的数据

这个时候可以先”U“一下,然后再”C“让IDA重新进行分析生成代码。

总结:

遇到不能F5或者是控制流断层错误的迷惑IDA的,都是由于IDA去分析程序出现了”误解“,这个时候可能是程序本身造成的,也有可能是软件保护者利用IDA本身的一些分析漏洞去故意让它识别错误,进一步的去了解IDA的反汇编原理有助于我们更好的去分析程序代码。

 

 

不知世事
关注
专栏目录
IDAPro.zip_C++_I Want! I Want
09-20
i just want to active my acccount again1, tks
IDA反编译的几个注意和技巧
qq_36535153的博客
04-08 1万+
IDA逆向程序的经验总结关于F5汇编代码不能转成c的伪代码的几个问题总结关于一些类型转换以及指针和地址的总结最可以拿来当教训的应该是 hide cast 功能1.jmpout的问题功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必...
IDA反编译失败:positive sp value has been found
weixin_30784501的博客
12-30 795
前言:   很不争气的,在做第一天MBE课后练习lab1A时又卡住了,不想纯撸汇编,把程序扔到IDAF5,发现不能反编译。经过搜索资料以及向学长请教,终于解决了这个问题,前来记录一下。由于知识有限,文中内容难免有错,请过往的大神们指教。   正文:   问题如下:      这种问题出现的原因如下:   一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用pus...
ida报错:positive sp value has been found
for_mat_的博客
10-25 1020
wmain是可以进去的,但是无法f5反编译 jmp到出错的地址处: 这里堆栈出现了问题 在427485的位置按下alt+k,对sp进行编辑 然后继续在427487的位置按下alt+k,编辑sp 此时就可以对wmain进行反汇编了 ...
IDAF5不能出现伪代码
m0_63790435的博客
11-04 2116
解决方法:先右键点击“代码”,再右键点击“创建函数”,在按 F5 就可以查看伪代码了。
IDA decompilation failure - positive sp value has been found
ATree的博客
10-31 2703
最近在使用IDA分析恶意程序时,该程序使用了大量对抗静态分析的方法,使得我在分析时总是使用OD看汇编,但它里面由于call太多,跟了很多以后我都不知道这个call返回到哪里了,于是觉得还是想办法看能否F5下,转成伪代码,看着速度会快很多,于是就有了这篇文章,直接进入主题。 拿这一段代码举例说明如何处理,首先这里红色的0FF98A7B1就是对抗静态分析的一种方法,我们需要先U一下转换为未定义的...
IDA解决不能f5报错问题
wumingpeng的专栏
05-18 4618
1 f5报错 2 打开栈指针 Options -> General 3找到报错的行的上面一行地址按Alt+k,改成0 5修复完后,f5就可以反编译成c的伪代码了
IDAF5反汇编伪代码错误Please use ida (not ida64) to decompile the current file
最新发布
天道酬勤,地道酬善,人道酬诚,商道酬信,业道酬精
02-21 2524
IDA不能F5反汇编成为伪代码,提示WarningPlease use ida (not ida64) to decompile the current file不给我转伪代码,不让我用ida64,IDAF5反汇编伪代码错误
IDA-Pro-5.4-help-chinese.rar_Help!_IDA Pro_IDA chinese_ida_ida p
09-22
IDA Pro的中文帮助手册,值得收藏。
Ponce:IDA 2016插件竞赛冠军! 只需一键即可完成符号执行!
02-24
Ponce(发音为['poNθe] pon-they)是IDA Pro插件,可为用户提供以简单直观的方式对二进制文件执行污点分析和符号执行的功能。 使用Ponce,您只需一键即可获得最先进的符号执行功能。 完全用C / C ++编写。 为什么?...
虚拟主机封杀webshell提权!!!!!!!!!!
10-01
- **ASP不能访问问题**:当遇到ASP访问错误时(如提示`The requested resource is in use`或`The remote procedure call failed and did not execute`),可以通过以下方法尝试解决: - 御载瑞星2005安全软件。 - ...
ida pro 7.0免费版,反汇编使用,so cool,可以看so源码!
11-02
ida pro 7.0免费版,反汇编使用,so cool,可以看so源码!
HCTF2017的三个WriteUp
hl1293348082的专栏
04-02 265
0x00 题目 感觉自己还是太菜了,比赛结束前只做出来了三道题。 Evr_Q (level - 1) guestbook (level - 2) babystack (level - 3) 0x01 Evr_Q 程序会先要求输入 User 载入到 IDA 进行分析 但是在进行 F5 反编译的时候发生了一个错误 Decompilation failure: 413238: positive sp value has been found 解决方法就是先 undefine 掉函
18/09/24-2-IDA反编译失败positive sp value has been found及sp-analysis failed问题的解决
qq_39539312的博客
09-25 1584
0x00 程序链接:https://pan.baidu.com/s/1p6d4ZiBnM3bI-EnGWThtkQ 密码:21w4 0x01 问题:在使用IDA对程序进行费分析发现sp-analysis failed,以及f5反编译时出现warning。 0x02 原因:堆栈不平衡。 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际...
ida使用时碰到的一些问题
你连心爱的女人的大便都不敢吃, 还敢说爱她
10-16 3781
#1 IDA F5 write access to constant memory detected. output maybe wrong. 这个就shift+F7后选定对应地址所在区段(具体出问题的内存地址在output可以看到), 然后ctrl+e打开编辑器 在segment permissions里面对应属性加上, 另外segment class如果是code/rdata的, 也改成d...
浅谈安卓逆向月报(1)- 抖音 - ida - nativeF5伪代码堆栈平衡修复
wq57885的博客
11-23 2868
这章主要聊聊如何修复可以F5伪代码 以最新的抖音840的so为例,这边仅仅说下如何修复F5解决positive sp value has been found”错误提示。 后续的我也没深入跟进,写这篇文章仅为方便自己日后查阅。 首先inline_hook确定RegisterNatives函数地址 leviathan地址为0x4e1c1 IDAF5会提示“4E24E p...
ida f5没反应原因
情随事迁个人博客
05-28 1781
so和ida的位数不一致。
解决IDA因为(Decompilation failure: positive sp value has been found)堆栈不平衡导致不可以F5的问题
iqiqiya的博客
08-22 9596
报错信息: 解决方法: 0x01:Options -->General--->把Stack pointer勾选上 0x02:鼠标点击上面的call   快捷键Alt+K   输入相应的值   使得下面的retn前面为0  就可以F5了   [推荐]IDA sp-analysis failed 不能F5解决方案之(二)-『软件逆向』-看雪安全论坛https:...
Android IDA So的动态调试大法
热门推荐
雪一梦的博客
10-05 3万+
今天已是国庆的第五天,白天去武馆训练过后,晚上回来品一杯西湖龙井,更一篇博客,一来帮助需要之人,二来加深自己的理解。 下面就说关于在IDA中Android so的动态调试的问题以及在so的三个层次下断点的操作。 问题篇: 1.动态调试的作用以及与我们常说的脱壳区别之处? 2.IDA的下断点调试的原理? 3.有无反调试的步骤区别?以及原理? 4.反调试与反附加的区别? 5.I...
解决IDA sp-analysis failed错误及结构体管理技巧
"本文主要介绍了使用IDA进行反编译时可能会遇到的问题以及解决方法,特别是针对'sp-analysis failed'错误的处理策略,同时也讲解了如何利用IDA定义和管理结构体,包括结构体的导出与导入,以提高分析代码的可读性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值