IDA系列--高级技巧--JUMPOUT处理

最新推荐文章于 2023-10-10 10:04:03 发布
最新推荐文章于 2023-10-10 10:04:03 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 逆向工具使用教程&技巧 文章标签: IDA 逆向分析 JUMPOUT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30135181/article/details/130824228
版权
本文介绍了在使用IDA进行逆向分析时,如何处理JUMPOUT情况,特别是针对switch结构的解析问题。通过选择跳转寄存器,指定开关idiom,删除并重新创建函数等步骤,解决了无法正常反汇编的情况。
摘要由CSDN通过智能技术生成

背景

当使用IDA逆向分析时,会遇到各种各样的无法F5反汇编的情况,例如JUMPOUT情况,本文通过各种例子讲解如何处理这种情况。

例子

以下结构是switch结构:

CMP             W1, #9
B.HI            loc_40CF44
ADRP            X9, #word_E67E58@PAGE
ADD             X9, X9, #word_E67E58@PAGEOFF
ADR             X10, loc_40CA1C ; jumptable 000000000040CA18 cases 0,2
LDRH            W11, [X9,X8,LSL#1]
ADD             X10, X10, X11,LSL#2
BR              X10

IDA解析

处理方案:

  • 选中跳转寄存器(如下X11),然后IDA中打开edit --> other -> Specify switch idiom
  • 按图示操作
    在这里插入图片描述
  • 根据上表进行操作之后,选中Function Window中对应的函数,之后右键点击删除函数。接着到对应地址按P创建函数。重新F5即可

参考

IDA代码修复的问题

分享一个对抗JUMPOUT的小技巧

Tasfa
关注
专栏目录
IDA 函数出现翻出来漏掉很多代码 或者出现jumpout 的处理方法之一
qq_36535153的博客
09-08 2769
如果出现有漏掉一大截代码的情况,那么我们需要查看漏掉的那部分的代码的汇编 看看跳转过去的代码是否在伪代码里面有显示 如果没有显示 且出现这种情况 end of function chunk for xxx 那么就需要手动修改 选择end of function chunk for xxx 下面的代码 按 快捷键 E 将下面的汇编 放到 上面的DataStream_Calc 函数里面去 这种情况可能会出现很多 需要不停的查找出现end of function chunk for xxx 的地方 然后
【Android安全】IDA 处理伪代码JUMPOUT指令(Undefine + Create Function)
Juruo@Security
04-15 9257
【Android安全】IDA处理JUMPOUT(Undefine + Create Function)
IDA 逆向代码 --- 双精度浮点型jumpout
生命不息 折腾不止
11-11 4717
场景: IDA识别出一个函数为: int __fastcall _floatsidf(int result) { if ( result ) JUMPOUT(&loc_DD7F4AA4); return result; } 分析: 调试一下,通过输入和输出发现:函数floatsidf 实际上就是将int 转换成为 double型; 浮点数,注意R0 和R1,是使用...
ida编译arm汇编出现JUMPOUT的解决方案
bncmjnmlp的博客
04-18 4387
首先可以通过在反汇编得到的的c代码里确定JUMPOUT在汇编代码的位置 之后在汇编代码中跳转到该地址,应该可以看到一个跳转指令(B,BL,BX等)。 由于IDA无法识别跳转指令的跳转地址,所以会出现JUMPOUT的情况。 想要去除JUMPOUT,就要由我们自己将这个跳转指令算出来。手动将算出来的地址写入汇编指令,代替原来的跳转地址。 修改方法:工具栏 -> Edit -> Patch Program -> Change byte... 另外,也会出现跳转指令无法计算的情况
jump out用法
weixin_30468137的博客
08-01 3282
You ready to jump out the airplane without your parachute? ---《老友记》 第一季 第一集 你准备好不用降落伞跳出飞机吗? 拓展: to jump right out of one's skin all skin and bones 今天我们 来给大家介绍两个由skin组成的习惯用语。我们要讲的第一个常用语所形容的景象可能你们永...
IDA修复跳表
huzai9527的博客
11-08 1980
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
红岩网校运维安全部二进制安全方向冬季考核:Winter_Task
qq_36995313的博客
03-01 462
WintertaskwinterTASK.exeRESERVE合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 winterTASK.exe 做题本身不是最重要的,给出的题,其实是给出我们要去学习的方向,并在做题中深化我们学到的知识。 给出了
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
ida-cmake:IDA插件CMake构建脚本
05-10
IDA插件CMake构建脚本 该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件...include ( "ida-cmake/cmake/IDA.cmake" ) set (sources "src/myplugin.cpp
ida-embed-arch-disasm:允许IDA PRO在32位数据库中反汇编x86-64代码(WOW64)
05-08
IDA嵌入拱门 使用32位IDA数据库时,允许您分解x86-64代码(如内联的WOW64代码)。 这将有助于分析WOW64模式开关。 依存关系 capstone Python模块 如果使用IDA 7和更高版本,请确保下载并安装适用于Python版本和体系...
IDA系列--x64逆向
Tasfa的博客
11-01 977
x64指令逆向分析,window逆向分析
IDA逆向技巧之美
游戏开发、游戏引擎开发、逆向破解爱好者
10-06 2808
IDA逆向分析水平就是一个逆向工程师的水平; 7.1 IDA与OD的联合使用 一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。 需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA中查找代码位置,具体方式如下: Edit ---> Segment ----- Rebase Program : 设置基地址; 在WINdbg中基地址在“符号”中查看;在OD中基...
IDA出现"sp-analysis failed"和F5(反编译)失败
lixiangminghate的专栏
12-16 1万+
本来想拟的标题是"IDA sp-analysis failed F5失败",因为网上有很多这种类型为标题的讨论。可是,我实际了一把,发现出现这种现象至少是有2个原因导致,就有了这篇文章的标题。 先来看看产生“sp-analysis failed”现象的原因,摘自ida官网: Problem: Failed to trace the value of the stack pointer
NSSCTF RE [NSSRound#3 Team]jump_by_jump_revenge
最新发布
qq_60929881的博客
10-10 396
找到花指令(标红) 选中按D转化为数据,再将数据改成0x90h(即nop)ida反汇编出现 jumpout(xxx) 判断是花指令。然后按P(重新分析)+F5。第一次尝试做花指令的题目。再按c转数据化为nop。写个脚本逆回去就行了。
IDA中常见快捷键
日志
07-07 4725
IDA常见快捷键
IDA常用的快捷键
qq_37799799的博客
02-03 877
f5 识别成伪代码 N 重命名 Y 设置类型 X 查看交叉引用 / 添加注释 \ 隐藏cast C 识别成汇编指令 G 根据指定地址、函数符号跳转 alt M 添加标签 ctrl M 查看标签 tab 汇编和反汇编切换 p 识别成函数 D 切换成数据 A 切换成字符串 ...
如何将汇编语言逆向成为C语言
热门推荐
生命不息 折腾不止
05-12 2万+
一、应用场景 逆向过程中往往需要将汇编语言逆向成为C语言,IDA是一个很好的工具,给我们逆向工作带来了很大的便利,但是,如果IDA没有识别出来代码呢,jumpOUT,我们需要掌握将汇编语言直接转成C。 二、反汇编技巧(摘取自 天书夜读) 2.1 首先,将流程代码与数据计算的代码分开,我们使用 F: 用于标识 调用函数或者作为函数被调用,出栈、入栈 ...
IDA 对switch case反编译不出来的问题 解决方法
qq_36535153的博客
01-06 1389
对应的汇编如下: 解决方法是: 选中生成错误的那一段汇编 然后右键 有一个analyze selected Area 然后再 按tab 键 到 pseudocode 界面 就可以看到重新分析出来的代码 多出了好多的代码
ida 逆向代码 --- 双精度浮点型jumpout
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现方式通常是通过比较双精度浮点寄存器的值,并根据比较结果跳转到指定的地址。具体实现步骤如下: 1. 首先,使用IDA打开二进制程序,并进行逆向分析,找到双精度浮点型jumpout指令的位置。 2. 在跳转指令之前,通常会使用一条或多条指令将双精度浮点数的值加载到浮点寄存器中。 3. 找到进行比较的指令,该指令通常会使用浮点寄存器中的值与另一个双精度浮点数进行比较。比较操作可以是大于、小于、等于等。 4. 根据比较结果,使用条件跳转指令进行跳转。如果比较结果符合条件,则跳转到目标地址;否则,继续执行下一条指令。 5. 如果跳转成功,程序将会执行目标地址处的指令,否则继续执行下一条指令。 通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执行条件,来分析和修改程序的行为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值