IDA修复跳表

最新推荐文章于 2023-07-19 14:24:06 发布
最新推荐文章于 2023-07-19 14:24:06 发布
阅读量1.8k 收藏 6
点赞数 3
分类专栏: CTF IDA 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/121204850
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
IDA
1 篇文章 0 订阅
订阅专栏

一、 IDA打开遇到JUMP CS命令

在这里插入图片描述

  • 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子

二、使用EDIT --> other --> specify switch

  • 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑
  • 我解释一下各个参数的意义
    在这里插入图片描述
Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0
Number of elements:switch 的个数,先前cmp eax 5,加一个default这里填6
Size of table element:switcj 的 element 的类型,这里eax 可以看出占4个字节
Element shift amount:这个一般情况下都是零,和跳表计算时的方式有关,比如此题只是单纯的跳表地址加跳表中的元素,那么就不需要移位
Element base value:设置为计算跳转地址时给跳表元素加的值,比如此题的计算方法为 &jump_table + jump_table[i],那么这里就应该填跳表的地址
Start of the switch idiom:这个默认就行,就是获取跳表值的语句的地址
Input register of switch:设置为用于给跳表寻址的寄存器
First(lowest) input value:就是 switch 的最小值了
Default jump address:也就是 default 的跳转位置,其实有时候可以不填,但是最好还是填上,这个一般在上方不远处的 cmp 指令附近。

跳表修复后,F5

在这里插入图片描述

huzai9527
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA系列--高级技巧--JUMPOUT处理
Tasfa的博客
05-23 1901
当使用IDA逆向分析时,会遇到各种各样的无法F5反汇编的情况,例如JUMPOUT情况,本文通过各种例子讲解如何处理这种情况。
idaida64
04-10
IDA(Interactive Disassembler Pro)和IDA64是两种版本的知名反汇编器和调试器,主要用于分析二进制代码,包括可执行文件、动态链接库(DLLs)、固件等。IDA提供了图形用户界面,使用户能够查看程序的反汇编视图,...
if分支和简单switch分支的还原
谢绝留言与私信
08-24 859
前言简单switch分支 : case数量<=3 if 分支包括: if if -else if -else if - else if - … - else 经过学习, 现在看if和switch分支, 还真是有点看到汇编代码就想到C代码的感觉^_^Debug版IDA笔记.text:00401010 ; =============== S U B R O U T I
IDA疑难杂症修复
WdIg-2023的博客
07-03 1265
我们在使用IDA进行逆向分析的时候,会遇到一些问题,这篇文章来带领大家学习IDA疑难杂症的修复:函数大小限制,栈不平衡,switch无法识别(跳转表修复),ida Decompile as call。
ida编译arm汇编出现JUMPOUT的解决方案
bncmjnmlp的博客
04-18 4108
首先可以通过在反汇编得到的的c代码里确定JUMPOUT在汇编代码的位置 之后在汇编代码跳转到该地址,应该可以看到一个跳转指令(B,BL,BX等)。 由于IDA无法识别跳转指令的跳转地址,所以会出现JUMPOUT的情况。 想要去除JUMPOUT,就要由我们自己将这个跳转指令算出来。手动将算出来的地址写入汇编指令,代替原来的跳转地址。 修改方法:工具栏 -> Edit -> Patch Program -> Change byte... 另外,也会出现跳转指令无法计算的情况
IDA常用的快捷键
qq_37799799的博客
02-03 838
f5 识别成伪代码 N 重命名 Y 设置类型 X 查看交叉引用 / 添加注释 \ 隐藏cast C 识别成汇编指令 G 根据指定地址、函数符号跳转 alt M 添加标签 ctrl M 查看标签 tab 汇编和反汇编切换 p 识别成函数 D 切换成数据 A 切换成字符串 ...
mac版本的ida免费版本资源
08-16
IDA v7.6的免费软件MAC版本资源 支持arm处理器
IDA使用教程
03-16
IDA(Interactive Disassembler Pro)是一款强大的反汇编器和调试器,广泛应用于逆向工程领域,用于分析二进制代码、病毒分析、软件安全研究等。本教程将引导你了解IDA的基础操作和核心功能,助你在短时间内掌握这款...
IDApro权威指南》个人学习笔记
最新发布
10-11
IDApro可以自动识别程序的错误,并对其进行修复。 反汇编 IDApro提供了反汇编功能,可以对程序进行反汇编,以获取程序的源代码。IDApro可以自动识别程序的汇编指令,并将其转换为高级语言代码。 插件 IDApro...
IDA 6.1 SDK
02-09
IDA 6.1开发插件SDK,内含官方发部的SDK及其它功能。 IDA 6.1开发插件SDK,内含官方发部的SDK及其它功能。
IDA常见快捷键
日志
07-07 4636
IDA常见快捷键
IDAswitch case反编译不出来的问题 解决方法
qq_36535153的博客
01-06 1341
对应的汇编如下: 解决方法是: 选生成错误的那一段汇编 然后右键 有一个analyze selected Area 然后再 按tab 键 到 pseudocode 界面 就可以看到重新分析出来的代码 多出了好多的代码
ida使用Operand type将数转偏移指南以及switch修复
JackBoy的博客
07-19 535
First(lowest) input value:第一个或者最小的 case 值,填写的1,错误可以观察出来。紧接着选32bit,base用分析出的0x100003EC0。然后选signed operand, 其实代表的是加操作数。switch 语句的首个指令的地址,这个不是很严格。这代表0x100003EC0被作为调整的base。这代表0x100003EC0被作为调整的base。可以看出base+0x10,已经是找到了分支。那怎么把下面的数据转换成偏移呢。5个需要重点关注的点。这段是负责跳转的地方。
IDA Pro基本简介
weixin_33711641的博客
11-20 2429
  IDA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window)。     IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头默认为红色,蓝色表示默认下一个执行块。 在寄存器窗口显示着每个寄存器当前的值和对应在反汇编窗口的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢...
Dark CTF 2020-Rev/HelloWorld-writeup
y4ung
10-07 1038
1. 介绍 本题是dark ctf Reverse的第二题:HelloWorld,网址:https://ctf.darkarmy.xyz/challs 题目描述:taking small Bites of Bytes 2. 分析 $ file hw hw: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically lin
【Android安全】IDA 处理伪代码JUMPOUT指令(Undefine + Create Function)
Juruo@Security
04-15 9082
【Android安全】IDA处理JUMPOUT(Undefine + Create Function)
关于2022虎符pwn mva解决jmp rax无法反汇编的这么个事情
yongbaoii的博客
03-23 1008
事情的起源是因为 2022 虎符 pwn mva 题解 那么有个问题来了 程序整个是个vm 但是在跳转的时候用了jmp rax导致它的十六个功能无法反汇编出来 当时比赛的时候是去硬读汇编解决的。 但是思索着有没有解决办法 最后经过无敌的cherest_san师傅帮忙解决了这个问题。特此记录。 他让不会的人都去问他 他说事了拂衣去,深藏功与名,但是高尚的我还是决定提他一嘴。 首先我们要清楚这里反汇编不出来主要是因为它没有跳到一个确定地址的地方。 那我们能不能通过适当的patch程序,来改变这里的逻辑。让他能直
IDA 函数出现翻出来漏掉很多代码 或者出现jumpout 的处理方法之一
qq_36535153的博客
09-08 2691
如果出现有漏掉一大截代码的情况,那么我们需要查看漏掉的那部分的代码的汇编 看看跳转过去的代码是否在伪代码里面有显示 如果没有显示 且出现这种情况 end of function chunk for xxx 那么就需要手动修改 选择end of function chunk for xxx 下面的代码 按 快捷键 E 将下面的汇编 放到 上面的DataStream_Calc 函数里面去 这种情况可能会出现很多 需要不停的查找出现end of function chunk for xxx 的地方 然后
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值