IDA 实战--(2)熟悉工具

已于 2023-02-23 15:06:35 修改
阅读量754 收藏
点赞数
分类专栏: # 逆向 文章标签: 逆向 IDA
于 2023-02-23 13:37:09 首次发布
本文为博主原创文章,未经博主允许可以转载。
本文链接:https://blog.csdn.net/helloexp/article/details/129178382
版权
文章介绍了如何对PE文件进行初步分析,主要关注main函数的汇编代码。通过示例展示了函数调用的过程,包括参数传递和栈空间管理,并提到了printf函数的使用。最后,解释了函数调用后的堆栈清理操作。
摘要由CSDN通过智能技术生成

布局介绍

  1. 软件启动后会 有几个选项,一般直接选择Go 即可
    在这里插入图片描述
  2. 之后的工作台布局如下
    在这里插入图片描述

开始分析

分析的第一个,将PE 文件拖入工作区
刚开始接触,我们先保持默认选项,其它选项后面会详细讲解,点击OK 后,等待分析完成
在这里插入图片描述
分析后的界面布局如下
在这里插入图片描述
默认是流程化显示汇编代码,可以按空格转换为正常模式,这里自动定位到main 函数了
在这里插入图片描述
我们先分析下 main 函数的整体流程,将main 函数的反汇编代码复制过来

.text:00401010                               ; =============== S U B R O U T I N E =======================================
.text:00401010
.text:00401010                               ; Attributes: bp-based frame
.text:00401010
.text:00401010                               ; int __cdecl main_0(int argc, const char **argv, const char **envp)
.text:00401010                               _main_0 proc near                       ; CODE XREF: _main↑j
.text:00401010
.text:00401010                               var_40= byte ptr -40h
.text:00401010                               argc= dword ptr  8
.text:00401010                               argv= dword ptr  0Ch
.text:00401010                               envp= dword ptr  10h
.text:00401010
.text:00401010 55                            push    ebp
.text:00401011 8B EC                         mov     ebp, esp
.text:00401013 83 EC 40                      sub     esp, 40h
.text:00401016 53                            push    ebx
.text:00401017 56                            push    esi
.text:00401018 57                            push    edi
.text:00401019 8D 7D C0                      lea     edi, [ebp+var_40]
.text:0040101C B9 10 00 00 00                mov     ecx, 10h
.text:00401021 B8 CC CC CC CC                mov     eax, 0CCCCCCCCh
.text:00401026 F3 AB                         rep stosd
.text:00401028 68 1C 20 42 00                push    offset Format                   ; "Hello World!\n"
.text:0040102D E8 2E 00 00 00                call    _printf
.text:0040102D
.text:00401032 83 C4 04                      add     esp, 4
.text:00401035 33 C0                         xor     eax, eax
.text:00401037 5F                            pop     edi
.text:00401038 5E                            pop     esi
.text:00401039 5B                            pop     ebx
.text:0040103A 83 C4 40                      add     esp, 40h
.text:0040103D 3B EC                         cmp     ebp, esp
.text:0040103F E8 9C 00 00 00                call    __chkesp
.text:0040103F
.text:00401044 8B E5                         mov     esp, ebp
.text:00401046 5D                            pop     ebp
.text:00401047 C3                            retn
.text:00401047
.text:00401047                               _main_0 endp
.text:00401047
.text:00401047                               ; ---------------------------------------------------------------------------

.text:00401010 55 push ebp 将ebp 寄存器入栈,上面的都是一些描述信息,暂时忽略,我们从这一行开始

.text:00401011 8B EC mov ebp, esp 将esp 寄存器赋值给ebp
.text:00401013 83 EC 40 sub esp, 40h 开辟40h 的栈空间备用
.text:00401016 53 push ebx 将ebx 入栈
.text:00401017 56 push esi 将esi 入栈
.text:00401018 57 push edi 将edi 入栈
.text:00401019 8D 7D C0 lea edi, [ebp+var_40] 加载 ebp+var_40 地址到 edi
.text:0040101C B9 10 00 00 00 mov ecx, 10h 将ecs 赋值为10h
.text:00401021 B8 CC CC CC CC mov eax, 0CCCCCCCCh 将eax 赋值为0CCCCCCCCh
.text:00401026 F3 AB rep stosd 重复上面的操作10h ,其实这4条汇编代码就是个循环赋值过程

.text:00401028 68 1C 20 42 00 push offset Format 传入参数,为什么是传入参数呢,这里要结合下面call 指令联合分析,根据x86 的调用约定,在调用函数前,需要先将参数入栈(双击Format 可以定位到数据区,不清楚PE 文件结构的,可以参考文章 《PE 文件结构解析》
在这里插入图片描述
在这里插入图片描述

.text:0040102D E8 2E 00 00 00 call _printf 调用printf 函数

后面的指令,暂时可以认为是函数调用完之后来清理现场的,不用过多纠结,这几个一般出现在函数调用结束之后,用来平衡函数的堆栈。

至此,main 函数分析完成

阿雷由
关注
专栏目录
反汇编工具IDA使用详解(使用IDA查看进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
C++常用软件分析工具从入门到精通案例集锦汇总
热门推荐
dvlinker的技术专栏
06-26 11万+
C++软件分析工具案例分析集锦!根据近几年C++软件异常排查的项目实践,详细地讲述如何使用PE工具、Dependency Walker、GDIView、Process Explorer、Process Monitor、API Monitor、Clumsy、DebugDiag、Windbg、IDA Pro等常用分析工具,以及如何使用这些工具去巧妙地分析和解决日常工作中遇到的问题,有很强的实战参考价值!
IDAPython实战
ChuMeng1999的博客
11-09 565
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDA实战视频
墨痕诉清风的博客
02-20 1627
http://www.sgoldcn.com/apps.php?q=weibo&uid=6584 出没地点 8859630
IDA 实战--(3)深入了解
大哥一声吼
02-23 282
F5大法,按下之后,一起都清晰了,这里是IDA 根据汇编语言提供的伪代码功能,与我们写的源代码基本一致,这个F5 功能还是非常使用、也是高频使用的一个功能。这种看起来非常不舒服,如果不熟悉汇编语言的话,分析起来还是很吃力的,不过IDA 提供了一个非常棒的功能。之前我们看到的代码都是下面这种,以反汇编的形势展示的。上一节,我们分析了main 函数整体的流程,
IDA pro脱壳实战过反调试
daide2012的博客
07-28 7550
IDA pro脱壳实战过反调试标签(空格分隔): Apk逆向1. 前言之前总结了IDA pro脱壳的基本步骤,包括调试步骤和在libdvm.so的dvmDexFileOpenPartial函数出下断点,从内存中dump出dex文件。 这次以360一代加壳为例,试着在mmap出下断点和过一些基本的反调试技术。2. 脱壳环境搭建这里的环境搭建和上一篇博客一样http://blog.csdn.net/d
IDA 实战--(1)环境准备
大哥一声吼
02-23 574
工具就不过多介绍了,进制分析界 的天花板工具,没有之一。运行下图中的程序,会自动设置好软件,并且在桌面添加快捷方式。下载完工具后,解压到没有。最好是在虚拟机下面运行。
IDA基础视频教程-知其所以然论坛.zip
02-09
熟悉IDA中的指令集,如x86或x64架构,并学习如何阅读和理解反汇编代码。 3. 函数分析:学习如何识别和分析函数,包括函数的入口点、参数、返回值和调用约定。理解ida.pro中的函数分析工具,如自动分析、手动分析和...
IDA实战教程
12-31
实战教程旨在帮助初学者快速掌握IDA的使用技巧,并深入理解其高级功能。 IDA入门教程.doc提供了基础的IDA操作指南,包括如何打开进制文件、浏览反汇编代码、识别函数和数据结构等。这部分内容将帮助新手熟悉IDA...
IDA工具安装、分享
YJJYXM的博客
11-10 9329
往期推荐 ARM处理器寻址方式 ARM指令集 ARM汇编语言程序结构 Android与ARM处理器 IDA工具被称之为是世界顶级的交互汇编。掌握IDA工具界面上的快捷功能、导航条主界面功能以及汇编窗口常用快捷键的使用。实战分析,了解ARM指令,伪代码以及分析源码汇编指令三者的关系。 熟悉IDA用法,在动态调试点的时候如鱼得水。 交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDAIDA Pro是一款交互式的,可编程
逆向实战IDA_PE
03-15
实战IDA_PE+_DLL脱壳
IDA分析实战及常见功能
Zxy_space的博客
03-19 824
*IDA常用功能及其快捷键* *序号* *功能* *快捷键* 1 反汇编窗口切换文本跟图形 空格 2 退到上一个操作地址 ESC 3 搜索地址或者符号 G 4 重命名 N 5 注释 ; 6 添加标签 ALT+M 7 列出所有标签 CTRL+M 8 一键反汇编 F5 9 打开string窗口 shift+f12 10 查看交叉引用 X 11 保存ida数据库 ctrl+w 12 选择某个数据段,直接进行跳转 ctrl+s 13 调节流程视图的.
IDA实战分析教程初级篇第一课:给代码添加注释
HUA的专栏
10-22 6220
各位童鞋大家好,我是小HUA,从今天开始,我将给大家带来一系列的逆向分析教程,希望大家能够分享逆向的快乐,本身技术有限,希望大家不要喷我。也希望大家能够分享自己的技术,为中国梦奋斗!   今天我们开始学习IDA实战分析基础篇第一课,从基础开始,一点点深入,这样才会能够走得更远,今天我们学习给代码添加注释! 添加注释很简单,只是一个快捷键分号“;” 比如我们在0042AE37处添加一个注
IDA实例
qq_38758407的博客
09-20 526
IDA实例教程   1 软件环境          静态分析有很多好处,例如加壳的程序(尽管对于高手来说这并不会耗费太多时间),我们不需要寻找OEP,也不需要解除自校验,只要修复IAT,DUMP下来就可以动手分析了。假如你需要修改程序,可以使用内存补丁技术。动态与静态,调试器与反汇编器结合可以简化分析任务,帮助我们理解代码。因此掌握一种反汇编器是非常必要的。IDA可以说是这方面的首选工具
[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
IDA 动态调试So库 ( 实战1 Crakeme01.apk)
深秋黄金甲的博客
08-03 683
IDA调试so库案例
恶意代码分析实战--IDA pro的使用及课后练习l
zyer
01-29 2293
1.对分析有用的窗口 函数窗口 Functions window 位于左半部分 列举可执行文件中的所有函数,可以在众多函数中过滤出想要的函数。这个窗口也对每一个函数关联了一些标志(F L S等),这其中最有用的是L,指明是库函数。 字符串窗口 Strings window (Shift + F12) 显示所有的字符串,可以右键Setup来修改它的属性 导入表窗口 .
恶意代码分析实战_05 IDA Pro
最新发布
kitsch0x97的博客
05-10 1103
IDA Pro对一个程序进行初始反汇编时,字节偶尔会被错误地分类,代码可能被定义为数据,数据也可能被定义为代码。在反汇编窗口中最常用地重新定义代码地方式,是按U键来取消函数、代码或数据的定义。当你取消代码定义时,后续字节会被重新格式化为一个原始字节列表。可以按C键定义原始字节为代码,按D键定义原始字节为数据,按A键定义原始数据为ASCII字符串。
IDA PRO 静态反汇编与OllyDbg动态调试实战技巧汇总
weixin_34124939的博客
02-11 1399
IDA PRO 静态反汇编与OllyDbg动态调试实战技巧汇总**********************************案例一: 使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程。首先用文本编辑器写一个C++源程序名为StackFrame.cpp,代码如下:#include"stdio.h"longadd(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿雷由

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值