每天一个IDA小技巧(六)交叉引用

最新推荐文章于 2023-12-18 12:26:26 发布
最新推荐文章于 2023-12-18 12:26:26 发布
阅读量8.8k 收藏 27
点赞数 3
文章标签: python java 编程语言 linux 嵌入式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/111878530
版权

在使用IDA进行逆向时,经常会碰到需要「定位某个变量被哪些函数访问」或者「某个函数是从什么地方被调用的」。这种跟踪变量或函数的功能在IDA中被称作交叉引用(XREF),同时IDA还提供了图形生成功能,以更直观的方式显示代码与数据之间的关系。

一. 交叉引用

先总结,IDA中有两类交叉引用:

  • 代码交叉引用 CODE XREF

    • 函数调用导致的交叉引用

    • 跳转交叉引用

  • 数据交叉引用 DATA XREF

    • 读取交叉引用

    • 写入交叉引用

    • 偏移量交叉引用

所有的交叉引用都是在一个地址引用另一个地址。这些地址可能是代码地址或数据地址。如果引入有向图论,那么就可以把每个地址看成是有向图中的节点,交叉引用看成为边,边的方向就代表着谁引用了谁。

1.1. 代码交叉引用

代码交叉引用是一个非常重要的概念,因为它可帮助IDA生成控制流图形和函数调用图形,这些图形最直观的用法就是可以帮助我们识别程序的流程,例如判断代码是否被OLLVM的控制流平坦化混淆过。

一个基本的代码交叉引用类似如下:

.text:00401000 sub_40100 proc near ; CODE XREF: main+2A ↓p

CODE XREF代表这是一个代码交叉引用,后面的地址(这里为_main+2A)是交叉引用的源头地址,即_main+2A处调用了该方法,交叉引用中使用的地址提供了额外的信息,指出交叉引用是在一个名为_main的函数中提出的,具体而言是_main函数中的第0x2A(42)字节。

地址后面总是有一个上行或下行箭头,表示引用位置的相对方向。需要向下滚动才能到达该地址。同样,上行箭头表示引用地址是一个较低的内存地址,需要向上滚动才能到达。

箭头后还包含了一个单字符后缀,代表交叉引用的类型,p代表这是一个调用类型,j则代表这是一个跳转类型的交叉引用。

可能很多人会好奇为什么将例如if else的代码改写成switch case的形式会被成为控制流平坦化,在IDA中,指令转交控制权的方式叫做流(flow)。IDA中有3种基本流:普通流、跳转流和调用流。

普通流(ordinary flow)是一种最简单的流,它表示由一条指令到另一条指令的顺序流。这是所有非分支指令(如ADD)的默认执行流。除了指令在反汇编代码清单中的显示顺序外,正常流没有其他特殊的显示标志。

每个无条件分支指令和条件分支指令将分配到一个跳转流(jump flow)。函数调用则被分配到一个调用流例如call指令。

通过交叉引用我们可以快速的追溯到每个跳转流和调用流的关系流程。

1.2. 数据交叉引用

数据交叉引用用于跟踪二进制文件访问数据的方式。IDA中最常用的3种数据交叉引用分别用于表示某个位置何时被读取、何时被写入以及何时被引用。下面这张图就展示了这三种数据交叉引用:

1.3. 读取交叉引用

读取交叉引用(read cross-reference)表示访问的是某个内存位置的内容,使用r作为单字符后缀,例如上面IDA反汇编中可以得知read_it被main+E处被读取。

同理write_it处的写入交叉引用表示修改write_it处的值,使用w作为单字符后缀,值得注意的是,write_it位置显示的交叉引用以省略号处结束,表明对write_it的交叉引用数量超出了当前的交叉引用显示限制。你可以通过Options▶General对话框中Cross-references选项卡中的Number of displayed xrefs(显示的交叉引用数量)设置修改这个限制。

第三类数据交叉引用为偏移量交叉引用(offset cross-reference),它表示引用的是某个位置的地址(而非内容),使用o作为后缀。通常,代码或数据中的指针操作会导致偏移量交叉引用。例如,数组访问操作一般通过在数组的起始地址上加上一个偏移量来实现。因此,许多全局数组的第一个地址通常可以由偏移量交叉引用来确定。为此,许多字符串数据(在C/C++中,字符串作为字符数组)成为偏移量交叉引用的目标。

一. 交叉引用列表窗口

如前所述,在某个位置显示的交叉引用注释的数量由一个配置控制,其默认设置为2。只要一个位置的交叉引用数量不超出这个限制,你就可以相当直接地访问这些交叉引用。

但如果想要查看某个位置的交叉引用完整列表,第一种方法是打开与某一特定位置有关的交叉引用子窗口。将光标放在一个或多个交叉引用的目标地址上,并选择View▶OpenSubviews▶Cross-References(查看▶打开子窗口▶交叉引用),即可打开指定位置的交叉引用完整列表。

第二种访问交叉引用列表的方法是选中一个你感兴趣的符号名称,在菜单中选择Jump▶Jump to xref(使用热键CTRL+X)打开一个对话框,其中列出了引用选中符号的每个位置。

交叉引用列表可用于迅速确定调用某个特殊函数的位置。例如如果想要确定程序中哪些地方调用了C标准库中的strcpy函数,可以用上述方法打开该函数的交叉引用列表窗口,甚至可以添加一段包含strcpy文本的注释,并使用该注释激活“交叉引用”对话框,因为IDA会讲注释中的符号名称也作为一个操作数处理,通过点击注释中的strcpy也能快速打开交叉引用列表。

最后,欢迎大家关注公众号「菜鸟学Python编程」,共同进步


悦来客栈的老板
关注
C++开源界面库duilib的使用细节与实战技巧总结(实战经验分享)
dvlinker的技术专栏
07-29 1万+
本文详细分享C++开源界面库duilib的使用细节与实战技巧
IDA Pro7使用总结
liinux-Talk is cheap,show me the code.
12-30 957
一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c++中复杂的重载后的函数名称 PE tools: 是一组用于分析Windows系统中正在运行的进程和可执行文件的工具 string: 可以用于直接搜索出elf文件中的所有字符串 参数-a 表示搜索整个文件,参数-t 可以显示出每一个字符串的偏移,参数-e 可以用于搜索更多的字符编码的字符串,如Unicode编码 strip: 可用于
IDA交叉引用详解
深耕安全技术研究
05-13 3325
交叉引用1.代码交叉引用2. 数据交叉引用3. 交叉引用列表 1.代码交叉引用 代码交叉引用的前缀为:CODE XREF如下图显示,箭头方向表示引用位置的相对方向。 每一个交叉引用的最后一位后缀表示引用的类型: o 普通流 ,表示一条指令到另一条指令的顺序流 p 调用流,表示控制权被转交给目标函数,如BL等命令 j 跳转流,表示分支操作,常见于if等操作 2. 数据交叉引用 数据交叉应用的前缀为:DATA XREF如下图所示,数据交叉引用一个交叉引用的最后一位后缀表示引用的类型 r 读取
ida 插件学习(8) 查找某函数交叉引用
qq_16812035的博客
09-18 1331
#include <loader.hpp> #include <dbg.hpp> #include <kernwin.hpp> #include <name.hpp> int idaapi IDAP_init(void) { if(inf.filetype != f_MACHO){ //检测文件类型 ...
IDA PRO 0A - 交叉引用
最新发布
a5right的博客
12-18 1632
本文将讨论IDA中的交叉引用的相关知识。更多c++逆向知识可以看B站的课程《C++ 反汇编基础教程(IDA Pro Visual Studio)》
IDA逆向笔记-交叉引用分析(快捷键X)
qq_20031585的博客
04-04 2048
IDA交叉引用功能,可以在汇编代码中看到程序的走向和互相的调用情况,对于理解程序有很大的帮助,真的就像是破案时提取指纹比对知道谁来过。
【Android安全】IDA交叉引用
Juruo@Security
03-25 390
IDA 交叉引用
14.IDA-XREF(交叉引用)概述
hgy413的专栏
01-27 1万+
XREF分类 CODE XREF:代码交叉引用 DATA XREF:数据交叉引用 XREF描述含义 这是个代码交叉引用 sub401000是被引用者,main+2A是引用者(引用sub401000的位置) 下箭头表示引用者的地址比sub401000高,你需要向下滚动才能到达引用者地址(main+2A),上行反之~ 4.每个交叉引用注释都包含一个单字符后缀(箭头后面),用以说明交叉引用的类
每天一个IDA技巧交叉引用1
08-03
IDA中,"CODE XREF"标识了一个代码交叉引用,如示例中的".text:00401000 sub_40100 proc near",这里的"p"表示这是一个调用类型的交叉引用,意味着`sub_40100`函数被`main+2A`调用。"main+2A"表示引用的源头位于`...
每天一个IDA技巧(七)IDA绘图1
08-03
至于IDA的外部图形功能,可以通过“查看”菜单的“图形”子菜单生成五种类型的图,包括函数流程图、整个二进制文件的调用图、目标符号的交叉引用图、源符号的交叉引用图和自定义的交叉引用图。这些外部图形虽然视觉...
IDA从入门到理解
yang7950000的博客
05-12 2711
IDA从入门到理解 IDA对于各位师傅应该无需简介了,如果写的不对的地方,还望师傅们多多包涵。 讲解的时候会涉及到笔者在学习和使用时候的理解。 启动界面介绍: NEW:打开IDA同时弹出对话框选择要打开的文件 Go:单独打开ida,打开界面将文件拖入 Previous,或者下面的列表项:快速打开之前的的文件 这里选择Go键,打开以后 把我们要分析的文件拖到ida即可 这里按我们的默认选项点击OK即可。 选择中可能需要理解的为: 1.Manual Load:基地址重定向,并且可以显示PE头部信息, 2.
遍历一个函数在程序中的所有交叉引用
weixin_30682127的博客
08-21 119
//遍历一个函数在程序中的所有交叉引用 // #include <idc.idc> static main() { list_callers("_memset"); list_callers("_sprintf"); } static list_callers(bad_func) { auto func,addr,xref,source; func =...
IDA反汇编/反编译静态分析iOS模拟器程序(交叉引用
热门推荐
hursing的博客
05-30 2万+
交叉引用cross reference是指 这个地址的 数据或代码 引用了哪个地址 以及 被哪些地址的代码所引用引用了哪个地址,在反汇编就能看出来,一行汇编代码自然只会引用一个地址。但被引用是一对多的关系,正如一个函数可以被很多函数在内部调用。查看“被引用”是静态分析中得到堆栈的方法,当然,因为一对多的关系,还需要猜。这主要是看分析的目的是什么,与运行时动态分析相比各有好处,静态分析能得到完整的
汇编和C交叉调用
猪哥的专栏
07-06 3296
    汇编和C的交叉访问也是很常见的,汇编中访问C,是因为一般上电初始化只能用汇编,但是汇编语言毕竟不是高级语言,想要简单实现复杂功能,就需要在汇编中调用C,而C中调用汇编,多是因为需要直接跟底层硬件打交道,所以需要C中引用汇编,简单的说几种:一、汇编程序中访问C程序变量    (1)在汇编中,先使用IMPORT声明该变量。    (2)使用LDR指令读取该变量的内存地址,也就是用“LDR r0...
word学习(一):交叉引用和题注学习
qq_39443703的博客
03-06 1万+
交叉引用和题注学习参考文献交叉引用交叉引用的使用图片和表格的引用小结 参考文献   参考文献是指在学术研究过程中,对某一著作或论文的整体的参考或借鉴。征引过的文献在注释中已注明,不再出现于文后参考文献中。 交叉引用    交叉引用就是在文档的一个位置引用文档另一个位置的内容,类似于超级链接,只不过交叉引用一般是在同一文档中互相引用而已。具体详细参考百度交叉引用 交叉引用的使用    了解了参考文献和交叉引用之后,我们就来学习如何使用交叉引用:       步骤1):将我们要引用的参考文献按照论文要求的格
C++交叉引用问题
退休码农飞伯德
07-29 6400
下面是几个编译错误: missing type specifier - int assumed. unknown override specifier. 'CTestA' does not name a type 我想不少人会遇到上面的编译错误,这很可能是交叉引用所造成的。 虽然C++交叉引用并不是一个很常见的问题,而且应该尽量避免交叉引用
IDAPython函数总结
zhangmiaoping23的专栏
07-10 1212
IDAPython7.0说明 idc.py Analysis Entry points Functions User interface Search in database Items Segments Read/Write in database Colors(background) Debugger Hooks Enums Structures Listing,comments,operands idautils.py(蓝色部分,即XRef函数颜色) Cross refer...
CPP编程中交叉引用问题
fox0815的博客
11-10 140
Cpp编程中交叉引用
【Android 逆向】IDA 工具使用 ( 交叉引用数量设置 | 调试设置 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-18 857
一、交叉引用数量设置、 二、调试设置
ida中如何获取一个元素的地址
06-12
IDA中获取一个元素的地址,可以通过以下步骤: 1. 打开待分析的二进制文件,在IDA中加载该文件。 2. 找到该元素所在的函数或结构体。 3. 选中该元素,然后在IDA的菜单栏中选择“查看”,然后选择“跳转到交叉引用”(或者使用快捷键“X”)。 4. 在弹出的窗口中选择“查找引用”(或者使用快捷键“R”)。 5. 在弹出的窗口中选择“文本字符串”或“地址”等选项,然后输入该元素的名称或者值。 6. 点击“OK”按钮,IDA将会查找到该元素的引用,并在交叉引用窗口中显示出来。 7. 在交叉引用窗口中找到该元素的引用地址,就是该元素在内存中的地址了。 注意:如果该元素在内存中是动态分配的,或者是通过指针间接访问的,需要对程序进行调试或者反汇编等操作,才能获取到该元素的地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值