14.IDA-XREF(交叉引用)概述

最新推荐文章于 2024-05-04 22:13:55 发布
最新推荐文章于 2024-05-04 22:13:55 发布
阅读量1.8w 收藏 52
点赞数 21
分类专栏: IDA 文章标签: IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/50594320
版权

XREF分类

CODE XREF:代码交叉引用
DATA XREF:数据交叉引用

XREF描述含义

这里写图片描述

  1. 这是个代码交叉引用
  2. sub401000是被引用者,main+2A是引用者(引用sub401000的位置)
  3. 下箭头表示引用者的地址比sub401000高,你需要向下滚动才能到达引用者地址(main+2A),上行反之~
    4.每个交叉引用注释都包含一个单字符后缀(箭头后面),用以说明交叉引用的类型,这里是↓P

CODE XREF

代码交叉引用用于表示一条指令将控制权转交给另一条指令。在IDA中,指令转交控制权的方式叫做流(flow)
IDA中有3种基本流:

普通流
调用流
跳转流

示例代码:

int read_it; 
int write_it; 
int ref_it; 
void callflow() {} 

int main()
{
    int *p = &ref_it;
    *p = read_it;
    write_it = *p;
    callflow();
    if (read_it == 3)
    {
        write_it = 2;
    }
    else
    {
        write_it = 1;
    }
    callflow();
}

示例汇编:

.text:00401010 ; int __cdecl main(int argc, const char **argv, const char **envp)
.text:00401010 _main           proc near               ; CODE XREF: __tmainCRTStartup+10Ap
.text:00401010
.text:00401010 p               = dword ptr -4
.text:00401010 argc            = dword ptr  8
.text:00401010 argv            = dword ptr  0Ch
.text:00401010 envp            = dword ptr  10h
.text:00401010
.text:00401010                 push    ebp
.text:00401011                 mov     ebp, esp
.text:00401013                 push    ecx
.text:00401014                 mov     [ebp+p], offset int ref_it
.text:0040101B                 mov     eax, [ebp+p]
.text:0040101E                 mov     ecx, int read_it
.text:00401024                 mov     [eax], ecx
.text:00401026                 mov     edx, [ebp+p]
.text:00401029                 mov     eax, [edx]
.text:0040102B                 mov     int write_it, eax
.text:00401030call    callflow(void)
.text:00401035                 cmp     int read_it, 3
.text:0040103C                 jnz     short loc_40104A
.text:0040103E                 mov     int write_it, 2
.text:00401048                 jmp     short loc_401054
.text:0040104A ; ---------------------------------------------------------------------------
.text:0040104A
.text:0040104A loc_40104A:                             ; CODE XREF: _main+2C↑j
.text:0040104A                 mov     int write_it, 1
.text:00401054
.text:00401054 loc_401054:                             ; CODE XREF: _main+38↑j
.text:00401054call    callflow(void)
.text:00401059                 xor     eax, eax
.text:0040105B                 mov     esp, ebp
.text:0040105D                 pop     ebp
.text:0040105E                 retn
.text:0040105E _main           endp
.text:0040105E

普通流

普通流表示由一条指令到另一条指令的顺序流。这是所有非分支指令(如ADD)的默认执行流。

调用流

如果IDA认为某个函数并不返回(在分析阶段确定,注意不是运行阶段),那么,在调用该函数时,它就不会为该函数分配普通流

.text:00401030call    callflow(void)
.text:00401054call    callflow(void)

指令用于调用函数,如③处的 call指令,它分配到一个调用流(call flow),表示控制权被转交给目标函数
callflow函数的反汇编:

.text:00401000 void __cdecl callflow(void) proc near   ; ①CODE XREF: _main+20↓p
.text:00401000                                         ; ①_main:loc_401054↓p
.text:00401000                 push    ebp
.text:00401001                 mov     ebp, esp
.text:00401003                 pop     ebp
.text:00401004                 retn
.text:00401004 void __cdecl callflow(void) endp

callflow所在的位置显示了两个交叉引用(①处),表示这个函数被调用了两次

由函数调用导致的交叉引用使用后缀↓p(看做是Procedure)。

跳转流

每个无条件分支指令和条件分支指令将分配到一个跳转流(jump flow)

.text:00401048                 jmp     short loc_401054
.text:0040104A ; ---------------------------------------------------------------------------
.text:0040104A

无条件分支并没有相关的普通流,因为它总会进入分支。上处的虚线表示相邻的两条指令之间并不存在普通流(也就是00401048后没有跟着顺序执行的指令)

跳转交叉引用使用后缀↑j(看做是Jump)。

DATA XREF

数据交叉引用用于跟踪二进制文件访问数据的方式。数据交叉引用与IDA数据库中任何牵涉到虚拟地址的字节有关(换言之,数据交叉引用与栈变量毫无关系)
最常用的3种数据交叉引用:

address何时被读取(读取交叉引用)
address何时被写入(写入交叉引用)
address何时被引用(偏移量交叉引用)

.data:00403378 int ref_it      db    ? ;               ; DATA XREF: _main+4↑o
.data:00403379                 db    ? ;
.data:0040337A                 db    ? ;
.data:0040337B                 db    ? ;
.data:0040337C int write_it    dd ?                    ; DATA XREF: _main+1B↑w
.data:0040337C                                         ; _main+2E↑w ...
.data:00403380 int read_it     dd ?                    ; DATA XREF: _main+E↑r
.data:00403380                                         ; _main+25↑r

读取交叉引用

读取交叉引用(read cross-reference)表示访问的是某个内存位置的内容
可以看到read_it在_main+E处、_main+25被读取,如下

.text:0040101E                 mov     ecx, int read_it
.text:00401035                 cmp     int read_it, 3

读取交叉引用使用后缀↑r(看做是Read)。

写入交叉引用

写入交叉引用指出了修改变量内容的程序位置
可以看到write_it在_main+1B、_main+2E处被写入,如下

.text:0040102B                 mov     int write_it, eax
.text:0040103E                 mov     int write_it, 2

写入交叉引用使用后缀↑w(看做是Write)。

偏移量交叉引用

偏移量交叉引用表示引用的是某个位置的地址(而非内容)
可以看到ref_it在_main+4处被引用

.text:00401014                 mov     [ebp+p], offset int ref_it

偏移量交叉引用使用后缀↑o(看做是Offset)。

与仅源自于指令位置的读取和写入交叉引用不同,偏移量交叉引用可能源于指令位置或数据位置,例如虚表
回溯偏移量交叉引用是一种有用的技术,可迅速在程序的数据部分定位C++虚表。

花熊
关注
  • 21
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XREF
ruins44的博客
05-27 3382
XREF的分类: 1.代码交叉引用,-CODE XREF 2.数据交叉引用,-data xref XREF含义描述 1.这是个代码交叉引用 2.fun是被引用者,main+2c表示引用者 3.下箭头表示引用者的地址比fun高,你需要向下滚动才能到达引用者地址(main+2C),上行反之 4.每个交叉引用注释都包含一个单字符后缀箭头后面),用以说明交叉引用的类型
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
15.IDA-查看XREF列表
hgy413的专栏
01-27 3279
查看XREF列表在某个位置显示的交叉引用注释的数量由ida.cfg控制,其默认设置为2,当然你可以改变它SHOW_XREFS = 2 // Show 2 cross-references (the rest is accessible by Ctrl-X)示例代码:int read_it; int write_it; int ref_it; void callflow() {} int
论文那些事儿—交叉引用
最新发布
weixin_59436900的博客
05-04 1135
在写本科生毕业论文时,发现身边有好多小伙伴还不清楚交叉引用如何使用,因此特撰写本文以供其他小伙伴参考,本文中以Microsoft—Word为例,wps同理。
IDA反汇编/反编译静态分析iOS模拟器程序(六)交叉引用
热门推荐
hursing的博客
05-30 2万+
交叉引用cross reference是指 这个地址的 数据或代码 引用了哪个地址 以及 被哪些地址的代码所引用引用了哪个地址,在反汇编就能看出来,一行汇编代码自然只会引用一个地址。但被引用是一对多的关系,正如一个函数可以被很多函数在内部调用。查看“被引用”是静态分析中得到堆栈的方法,当然,因为一对多的关系,还需要猜。这主要是看分析的目的是什么,与运行时动态分析相比各有好处,静态分析能得到完整的
IDA交叉引用详解
深耕安全技术研究
05-13 3106
交叉引用1.代码交叉引用2. 数据交叉引用3. 交叉引用列表 1.代码交叉引用 代码交叉引用的前缀为:CODE XREF如下图显示,箭头方向表示引用位置的相对方向。 每一个交叉引用的最后一位后缀表示引用的类型: o 普通流 ,表示一条指令到另一条指令的顺序流 p 调用流,表示控制权被转交给目标函数,如BL等命令 j 跳转流,表示分支操作,常见于if等操作 2. 数据交叉引用 数据交叉应用的前缀为:DATA XREF如下图所示,数据交叉引用 每一个交叉引用的最后一位后缀表示引用的类型 r 读取
【Android 逆向】IDA 工具使用 ( 交叉引用数量设置 | 调试设置 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-18 817
一、交叉引用数量设置、 二、调试设置
ida-cmake:IDA插件CMake构建脚本
05-10
IDA插件CMake构建脚本 该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件...include ( "ida-cmake/cmake/IDA.cmake" ) set (sources "src/myplugin.cpp
jni.h->ida idc脚本
05-19
可以让大家在逆向分析调用的jni函数时,正常的显示调用的函数名称,不需要去按照数字,查找对应的函数,也不用在无休止的添加注释
IDA-3D:IDA-3D
03-08
IDA-3D:用于自动驾驶的立体视觉中具有实例深度的3D对象检测(CVPR2020) 该存储库是我们CVPR2020 的代码 安装 此实现基于 ,您可以检查以获取安装说明。 我们在Ubuntu 18.04上的python 3.7,PyTorch 1.1.0,CUDA ...
IDA-Pro-Scripts:IDA 专业脚本
06-22
DA 专业脚本 一些帮助逆向工程的 IDA 脚本 要安装所有子模块的脚本,请尝试: git clone --recursive ... 来自圈套的ida-efiutils 实施的想法 FireInsight-plugin有许多很酷的 FileInsight 插件
IDA-Pro-7.7-全插件版
07-09
IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA ...
知其所以然论坛-IDA逆向精讲视频教程
11-20
20.IDA交叉引用列表与绘图 IDA介绍: IDA(Interactive Disassembler)是一款广受欢迎的交互式反汇编工具,由Hex-Rays开发。它被广泛应用于逆向工程、漏洞分析和恶意软件分析等领域,为用户提供了强大的反汇编、...
IDA-Pro-5.4.chm.zip_ ida_IDA Pro_IDA Pro 5_ida
09-19
著名逆向工程的工具IDA的使用说明,是中文版的。很好,很实用。
IDAC&腾讯安全-银行业数据安全白皮书-2020.5-53页.pdf
09-01
IDAC&腾讯安全-银行业数据安全白皮书-2020.5-53页.pdf》是一份深入探讨银行业数据安全的重要报告,由IDAC(可能是某个信息安全研究机构或联盟)与腾讯安全共同发布。这份53页的白皮书详细分析了当前银行业在数据...
每天一个IDA小技巧(六)交叉引用
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
12-28 8070
在使用IDA进行逆向时,经常会碰到需要「定位某个变量被哪些函数访问」或者「某个函数是从什么地方被调用的」。这种跟踪变量或函数的功能在IDA中被称作交叉引用(XREF),同时IDA还提供了...
虚函数的解析
dasgk的专栏
06-04 730
概念上,虚函数是在程序运行时刻才定义的函数,其实其含义是:虚函数是在运行时刻才知道要调用的是子类的方法,还是父类的方法,对于一个含有虚函数的类而言,他的虚 函数的定义在一个地方,还有一个叫做虚函数表的数据结构被存储下来,这个虚函数表,这个虚函数表中存放了每个虚函数的首地址,当我们调用一个虚函数时,他会首先寻找虚 函数表所在,然后根据偏移量获得该虚函数的地址,进而将该虚函数地址中的内容,放进寄存
IDA.【转】5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制
05-17
IDA是一款非常强大的反汇编工具,它不仅可以将二进制文件反汇编成汇编代码,还可以对汇编代码进行分析和调试。在IDA中,我们可以进行文本搜索、二进制搜索和替换16进制字节序列等操作。 1. 文本搜索 在IDA中,我们可以使用快捷键Ctrl+F或者点击菜单“Edit”->“Find”来进行文本搜索。在搜索框中输入要查找的文本,点击“Find”按钮即可。如果要查找下一个匹配项,可以使用快捷键F3或者点击菜单“Edit”->“Find Next”。 2. 二进制搜索 在IDA中,我们也可以进行二进制搜索。首先,我们需要打开“Hex View-A”窗口,该窗口可以显示二进制文件的16进制表示。在该窗口中,我们可以使用快捷键Ctrl+F或者点击菜单“Search”->“Find Bytes”来进行二进制搜索。在搜索框中输入要查找的16进制字节序列,点击“OK”按钮即可。如果要查找下一个匹配项,可以使用快捷键F3或者点击菜单“Search”->“Find Next”. 3. 替换16进制字节序列 在IDA中,我们也可以替换16进制字节序列。首先,我们需要打开“Hex View-A”窗口。在该窗口中,我们可以使用快捷键Ctrl+R或者点击菜单“Search”->“Replace Bytes”来进行替换操作。在弹出的对话框中,输入要查找的16进制字节序列和要替换的16进制字节序列,然后点击“OK”按钮即可。如果要替换所有匹配项,可以点击“Replace All”按钮。 以上就是IDA中文本搜索、二进制搜索和替换16进制字节序列的操作方法。在实际使用中,这些操作非常实用,可以帮助我们更快地定位和解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值