IDA创建结构体方法

已于 2022-05-07 16:14:22 修改
阅读量1w 收藏 4
点赞数 2
分类专栏: Penetration test 文章标签: IDA 系统安全 网络安全 逆向分析 渗透测试
于 2022-04-20 10:10:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33163046/article/details/124290143
版权
本文介绍了如何在IDA中有效地进行逆向分析,特别是针对结构体指针偏移的情况。通过找到结构体初始化的地方,定义结构体并在 Structures 中插入成员,然后与代码变量关联,确保偏移量和大小正确。最后,通过Convert to struct将结构体应用到代码中,以便更清晰地理解变量的使用。整个过程旨在提高逆向工程的效率和代码可读性。
摘要由CSDN通过智能技术生成

1. ida是最好用的逆向分析工具

2.问题

如果你在使用IDA分析时遇到大量的结构体指针偏移形式的变量,肯定想根据自己的分析重命名结构体各项。

3.定义结构体

这是需要先找到结构体初始化的地方

这里记录了每一项的偏移量,记录了结构体总大小Ox110uLL。

我们要根据这个结构体初始化函数来定义该结构体

在IDA中打开Structures,快捷键是shifr+ F9 ,然后按insert键,进行插入。

在ends 后按d键,添加相应的成员,然后选中成员名,按N进行修改,选中类型,按d 进行更改类型

00000000 DES_sturct      struc ; (sizeof=0x110, mappedto_96)
00000000 android_refbase0 DCD ?
00000004 field_4         DCB ?
00000005                 DCB ? ; undefined
00000006                 DCB ? ; undefined
00000007                 DCB ? ; undefined
00000008 item8           DCQ ?
00000010 item16          DCQ ?
00000018 item24          DCQ ?
00000020 item32          DCD ?
.......
000000E4 field_E4        DCQ ?
000000EC uuid            DCQ ?
000000F4 item244         DCQ ?
000000FC cipher          DCQ ?
00000104 nextitemofcipher DCQ ?
0000010C field_10C       DCD ?
00000110 DES_sturct      ends

注意:

1.在定义结构体过程中要检查偏移量。比如 cipher是

*(_QWORD *)(v2 + 252) = 0LL; 

2.那么自己定义的结构体,它的位置就应该在 000000FC(16进制的252)。

定义结束后要检查总大小“ sizeof=0x110”。

4. 使自己定义的结构体和代码变量关联生效

在代码窗口找到相应的变量,右键选择Convert to struct ,然后选择刚刚你定义的结构体

此时,结构体初始化的地方显示为:

  v2 = (DES_sturct *)struct_qword_331A0;
  if ( !struct_qword_331A0 )
  {
    v2 = (DES_sturct *)operator new(0x110uLL);
    android::RefBase::RefBase((android::RefBase *)v2);
    v2->item48 = 1;
    v2->item74 = 48;
    v2->item214 = 2;
    v2->item215 = 2;
    v2->item16 = 0LL;
    v2->nextitemofcipher = 0LL; 
......
    v2->cipher = 0LL;                         
......
    android::RefBase::incStrong((android::RefBase *)v2, &struct_qword_331A0);
    if ( struct_qword_331A0 )
      android::RefBase::decStrong((android::RefBase *)struct_qword_331A0, &struct_qword_331A0);
    struct_qword_331A0 = (__int64)v2;
	}

使用结构体变量的地方显示:

    v23 = a1 + 252;

改变为

    v23 = &a1->cipher;

 我们的目的就这样达到了。

晓翔仔
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
每天一个IDA小技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
7.IDA-创建结构体
hgy413的专栏
12-26 1万+
结构体的一个显著特点在于,结构体中的数据字段是通过名称访问,而不是像数组那样通过索引访问。不好的是,字段名称被编译器转换成了数字偏移量。结果,在反汇编代码清单中,访问结构体字段的方式看起来与使用常量索引访问数组元素的方式极其相似。 注意的是,结构体中有个内存对齐规则,所以不要认为编译器会利用所需的最小空间来分配结构体。默认情况下,编译器会设法将结构体字段与内存地址对齐,以最有效地读取和写入这些字
idapython7.5创建结构体方法
如鹿渴慕泉水的专栏
06-15 214
idapython7.5创建结构体方法
c#结构
记录点滴
09-23 482
结构可以帮助我们一次性声明多个不同类型的变量 语法: [ public ] struct 结构名 { _成员; // 通常称为字段 ··· ··· } 定义的位置: 与枚举类型enum一样,通常定义在命名空间下方,类的上方: 如: 下边小练习中,把结构与枚举相结合,在结构中,通过枚举来定义性别: namespace day_1 { //定义枚举 public enum Sex { fameil, meil } //.
加密与解密 调试篇 静态分析技术 (二)重命名/数据转换/字符串/数组/结构体
m0_64180167的博客
06-25 626
参考重命名是ida极好的一个功能可以把反汇编清单的默认名称改为有意义的名称增加可读性单击 + N 即可打开这个 sub_401120没有什么意义全部的 sub_401120都变为了 WndProc。
IDA系列--高级技巧--数据结构
Tasfa的博客
10-09 1185
当源码的函数中使用了结构体类型的变量时,反汇编代码中对于结构体中成员的获取往往都是通过一个`指针 + offset`来获取的。对于阅读源码静态分析极其麻烦,因此需要创建数据结构简化分析
【逆向】IDA使用技巧
Juruo@Security
04-22 4554
IDA使用技巧
每天一个IDA小技巧(三)全局、栈和堆分配的数组和结构体1
08-03
堆分配的数组使用动态内存分配函数(如`malloc`或`new`)创建,编译器需要依赖分配函数返回的地址。在访问堆数组时,需要先从保存分配地址的局部变量中读取基址,然后加上偏移量来访问元素。堆分配数组的一个特点是...
识别c++ RTTI的ida脚本1
08-08
为了解决这个问题,可以创建一个模拟的`type_info`结构体,如`_fake_typeinfo`,并设置其`vtbl`和`name`字段,然后通过这个模拟对象来调用`name()`。 以下是一个简化的示例,展示了如何使用模拟的`type_info`结构体...
每天一个IDA小技巧(五)C++基本特性1
08-03
在 C++ 中,类是 C 结构体的扩展,因此,在结束数据结构的讨论时,我们有必要介绍一下已编译的 C 代码的各种特性。牢固掌握 C++ 语⾔言的基础知识,对于你理理解已编译 C++ 代码将⼤大有裨益。 在源代码层次上完全...
ida插件1(共三个文件)
12-24
IDA获奖插件合集,2009年到2018年共10届IDA插件竞赛获奖ida插件合集,共分3个压缩文件,下载到同一个文件夹后解压。
IDA 反编译之创建结构体分析调用的API某硬编码项
qq_33163046的博客
10-22 6013
逆向分析某mqtt client软件的时候,由于调用了“Paho Asynchronous MQTT C Client Library”,为了分析获得某硬编码的API参数值,需要构造struct。下面是分析的过程
ida添加JNIEnv等结构体--arm64 arm32 x86 x86_64
LoopherBear的博客
03-20 3955
ida pro7.0导入jni.h 在使用ida逆向android的so的时候,如果使用的是ida pro7.0的版本并且逆向的so是arm系列的,例如arm64-v8a和armeabi-v7a的由于缺少JNIEnv等结构,反编译后查看函数就变得很不友好,armeabi-v7a的还比较人性化,会自动添加JNIEnv等结构体,如下 armeabi-v7a x86 选中int然后按下y就能修改成为...
世界顶级的交互式反汇编工具——ida的使用详解
热门推荐
m0_57485346的博客
11-03 1万+
世界顶级的交互式反汇编工具——ida的使用详解
堆栈认知——逆向IDA工具的基本使用_ida 8
最新发布
u010508150的博客
04-06 1205
图形界面与文件界面的切换使用空格键你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!如果你觉得这些内容对你有帮助,可以+V:Vip1104z获取!!!(备注:嵌入式)你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
汇编语言中常用到的数据结构基础和IDA的基本操作
cutesharkl的博客
07-05 834
当涉及到C语言数据结构时,线性表、栈、队列和树是常见的基本数据结构。下面是关于这些数据结构的一些基本知识:数组实现的线性表示例:(以下均以C语言示范)
IDL学习:语法基础-结构体
心网千劫
08-09 4394
IDL学习:语法基础-结构体,介绍了IDL结构体创建、增加成员、修改等等
自定义类型——结构体(内存对齐详解)
y1355966的博客
07-29 270
结构体类型详解,包括内存对齐详解
IDA创建结构体导入到另外一个IDA工程中的操作步骤
qq_36535153的博客
05-08 1236
其实看雪上有这样的贴子已经说明了要怎么操作,但是我想在这里在增加一个入口 操作如下: 1.选择dump typeinfo to IDCFile 2.在另外一个IDA中选择File->script file 加载上一步创建的文件即可. ...
ida 如何逆向结构体
07-29
要逆向结构体,你可以采取以下步骤: 1. 首先,使用逆向工程工具(如IDA Pro)打开目标程序。 2. 使用IDA Pro的反汇编功能,浏览程序的代码,找到与结构体相关的函数或数据。 3. 确定结构体的大小和成员变量的偏移量。可以通过查看代码中对结构体的引用来获得这些信息。 4. 在IDA Pro中创建一个结构体类型,并设置正确的大小和成员变量的偏移量。这可以通过使用IDA Pro的结构体定义功能来完成。 5. 使用IDA Pro的结构视图来查看和编辑结构体的成员变量。 6. 在逆向过程中,可以根据对结构体的使用情况进行推测和验证。你可能需要使用IDA Pro的数据交叉引用功能来查找对结构体成员变量的引用。 请注意,逆向结构体可能涉及到一定的猜测和试错过程,因为反编译后的代码可能不会完全还原原始源代码中的结构体定义。因此,仔细分析代码并进行验证是很重要的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值