ida 遇到的 sub_地址 问题

最新推荐文章于 2024-05-03 11:33:07 发布
最新推荐文章于 2024-05-03 11:33:07 发布
阅读量6.4k 收藏 6
点赞数 2
分类专栏: pwn 文章标签: ida
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37921080/article/details/80721602
版权
本文介绍了在使用ida分析.sys文件时遇到的函数名显示为sub_地址的问题,原因是Windows内核文件去除了符号段。为了解决这个问题,文章分享了如何链接到Microsoft公共符号服务器,包括设置_NT_SYMBOL_PATH环境变量,并讨论了可能出现的加载符号文件失败的解决方法。同时,文章提到了免安装ida加载符号表的两种方案:使用windbg的symchck或先用安装版ida下载符号表。
摘要由CSDN通过智能技术生成
在使用ida 分析 .sys文件时,发现几乎所有的函数名都是 sub_地址 的形式,经过查找,找到了原因和解决方法。与大家分享一下。

首先我们知道,可执行文件和目标文件里都会有一个符号段,用来存放函数名以及段名。ida在反汇编时通过这个段来定义各个函数的函数名。

然而,windows 为了缩小内核文件的体积,去除了符号段。关于去除符号段的方法可以参考 strip 工具

这就造成了开头的那个问题,也对我们分析内核文件带来了困难。

不过,微软在网上提供了一个符号存储库以供下载,但是后来windows的更新频率太快了,就不再提供直接下载功能。而是提供了一个在线的 Microsoft公共符号服务器
这里写图片描述
要想进行分析,我们就要拿到符号表,而windows 的符号表其实可以从网上下载。以前windows的符号表是可以完全下载到本地的。但是后来由于windows更新频率的加快,导致符号表过时过快。所以现在符号表都是放置在在线符号服务器上的。
详情链接:

最低0.47元/天 解锁文章
Flyour
关注
专栏目录
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
如何hook那些在IDA中显示为sub_xxx的函数
weixin_30750335的博客
04-29 1188
唉,说起来这就是一个坑,Cydia Substrate在其文档中也没找到详细说明,最后也只能来看看代码曾半仙最早给的那份substrate-master源码,然后一切就了然于胸了,这个坑很大,很大!!!现在我们先来看下MSHookFunction怎么Hook IDA中的sub_xxxx函数,然后再来谈谈为啥是这样的。 就以这段代码为例吧,下断点红色选中部分,中的sub_17C94就是我...
frida 实战_[原创]【Frida 实战】如何拦截 sub_xxxx 这种函数
weixin_42400619的博客
01-26 1933
IDA 里看到的 sub_xxxx 这种类型的函数是因为没有符号,所以 IDA 解析时就显示 sub_xxxx,其中 xxxx 是 IDA 读取到的函数地址。在第二篇教程中,我们初步学习了拦截器(Interceptor)的使用,知道了怎么拦截函数,但是如果是自定义函数,去掉符号信息可能就没有称,我们该怎么拦截呢?下面我们来实际操作,自定义一个静态函数称是 add,功能就是将第一个参数和第...
iOS Hook在IDA中显示为sub_xxx的函数
glt_code的博客
10-26 7785
基础 1. Mach-O文件组成部分 Header、Load commands、Raw segment date(常见的一些段__PAGEZERO空指针陷阱段、_TEXT程序代码段、__DATA程序数据段、__LINKEDIT:链接器使用段等); 2. Mach-O文件的加载 dyld Mach-O文件被dyld进行加载的;dyld(the dynamic link editor)是 Ap...
IDA静态编译之sub
weixin_30372371的博客
07-16 777
int __thiscall sub_10009800(const wchar_t *this, int a2, int a3, HKEY hKey){ } 说明:__thiscall dll内子函数 const wchar_t *this 类的对象函数 【转】 在使用IDA使用之前,一定要分析出对象是用什么语言来编写的,然后可以用IDA的签,将大大增加可读...
IDA---反汇编窗口显示字符串而非别【不显示字符串】
zhjmyx的专栏
12-08 417
一些字符串不在只读区段,Hex-Rays反编译器默认只打印常量字符串,变量字符串会以别显示。取消勾选"Print only constant string literals"
IDA逆向分析的方法
热门推荐
traceme2011的专栏
03-03 1万+
一、PE文件的分析流程。 1. 对于DLL文件,先查看它的导出表,确定一些功能函数。 2. 查看导出表,看调用了那些类型的API。比如可能有如下几类 (1)      文件操作、创建、写、读(2)      注册表操作,读、写(3)      提权相关函数(Privage)(4)      进线程函数 然后根据这写不同类型的导出函数,用X快捷键查看有哪些地方引用了,可以分析出一些sub_0xxxx...
idaref:IDA Pro指令参考插件
04-14
但是,有时我需要知道一些精确的细节(即SUB的确切副作用)或遇到一个罕见的说明。 然后,我打破了思路,不得不挖出参考手册。 是什么让我在想: IDA为什么不能只给我完整的文档? 输入IdaRef: 该插件将监视光标...
最新IDA Python 使用总结_idapython
最新发布
2401_84585234的博客
05-03 180
addrdata。
IDA Pro7使用总结
liinux-Talk is cheap,show me the code.
12-30 875
一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c++中复杂的重载后的函数称 PE tools: 是一组用于分析Windows系统中正在运行的进程和可执行文件的工具 string: 可以用于直接搜索出elf文件中的所有字符串 参数-a 表示搜索整个文件,参数-t 可以显示出每一个字符串的偏移,参数-e 可以用于搜索更多的字符编码的字符串,如Unicode编码 strip: 可用于
IDA pro使用笔记
qq_42208662的博客
10-18 1028
IDA Pro使用笔记
IDA调试干货
box_kun的博客
03-02 2989
1、 IDA中各种命前缀(sub、loc、offset等)的含义 IDA自动生成假字。他们用于表示子函数,程序地址和数据。根据不同的类型和值假字有不同前缀 sub_ 指令和子函数起点 locret_ 返回指令 loc_ 指令 off_ 数据,包含偏移量 seg_ 数据,包含段地址值 asc_ 数据,ASCII字符串 byte_ 数据,字节(或字节数组) word_ 数据,16位数据(或字数组) dword_ 数据,32位数据(或双字数组) qword_ 数据,64位数据(或4字数组) f.
IDA前缀的含义
kelxLZ的博客
01-20 1963
IDA自动生成假字,他们用于表示子函数,程序地址和数据。根据不同的类型和值假字有不同前缀: sub_: 指令和子函数起点 locret_ :返回指令 loc_ :指令 off_ :数据,包含偏移量 seg_ :数据,包含段地址值 asc_ :数据,ASCII字符串 byte_ :数据,字节(或字节数组) word_: 数据,16位数据(或字数组) dword_ :数据,32位数据(或双字数组) qword_ :数据,64位数据(或4字数组) flt_ :浮点数据,32位(或浮点数组) dbl_: 浮点
Android动态方式破解apk进阶篇(IDA调试so源码)
weixin_30872671的博客
03-02 1238
一、前言 今天我们继续来看破解apk的相关知识,在前一篇:Eclipse动态调试smali源码破解apk我们今天主要来看如何使用IDA来调试Android中的native源码,因为现在一些app,为了安全或者效率问题,会把一些重要的功能放到native层,那么这样一来,我们前篇说到的Eclipse调试smali源码就显得很无力了,因为核心的都在native层,Android中一般native层...
IDA,很好很强大
记事本
10-21 7250
IDA,这款可以把程序反编译成C语言的东西。。 我用我们老师C++课上留的一道小学奥赛水平的弱智题的程序代码为例,先用MinGW编译,结果用IDA反编译出了几千个函数,全都是sub_加编号的称,每一个都很短,变量都是v1、v2等等的,一点也看不懂,我甚至连主函数在哪里都找不到。 然后又用VS2010编译,再反编译,令我大开眼界,函数、变量全能被正确地反编译出来,
每天一个IDA小技巧(六)交叉引用
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
12-28 8433
在使用IDA进行逆向时,经常会碰到需要「定位某个变量被哪些函数访问」或者「某个函数是从什么地方被调用的」。这种跟踪变量或函数的功能在IDA中被称作交叉引用(XREF),同时IDA还提供了...
IDA Pro7.0使用技巧总结使用
寻梦&之璐
11-07 4100
俗话说,工欲善其事,必先利其器,在二进制安全的学习中,使用工具尤为重要,而IDA又是玩二进制的神器,以前在使用IDA的时候,只是用几个比较常用的功能,对于IDA的其他功能没有去研究,于是本着学习的精神,参考着《IDA pro权威指南》(第二版),写下这篇文章,记录自己的学习心得,下面的记录都是在Windows平台下的IDA pro7.0进行的 一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c
IDA_BITMAP_BIT
07-27
IDA_BITMAP_BITS是一个常量,它表示每个IDA位图块中的位数。在给定的代码片段中,IDA_BITMAP_BITS用于计算每个IDA位图块中的位数,并用于确定是否需要继续到下一个IDA位图块来分配空槽。当没有满足大于等于offset的空槽时,IDA_BITMAP_BITS的值被用来判断是否需要继续到下一个IDA位图块进行分配。如果当前IDA位图块已经分配满了,即bitmap->nr_busy == IDA_BITMAP_BITS,那么对应的树叶节点的位图位置将被设置为1,表示该树叶节点已经分配满了。最后,函数将返回分配好的空槽对应的id。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [Linux Ida and Ird 源码分析](https://blog.csdn.net/gjq_1988/article/details/73723998)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值