ida使用Operand type将数转偏移指南以及switch修复

已于 2023-07-19 14:26:14 修改
阅读量502 收藏
点赞数
分类专栏: 经验 笔记 ida 文章标签: ida
于 2023-07-19 14:24:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34905587/article/details/131804688
版权
经验 同时被 3 个专栏收录
20 篇文章 1 订阅
订阅专栏
笔记
3 篇文章 0 订阅
订阅专栏
ida
1 篇文章 0 订阅
订阅专栏 
__text:0000000100003E70                 SUB             SP, SP, #0x30
__text:0000000100003E74                 STP             X29, X30, [SP,#0x20+var_s0]
__text:0000000100003E78                 ADD             X29, SP, #0x20
__text:0000000100003E7C                 STUR            WZR, [X29,#var_4]
__text:0000000100003E80                 B               loc_100003E84
__text:0000000100003E84 ; ---------------------------------------------------------------------------
__text:0000000100003E84
__text:0000000100003E84 loc_100003E84                           ; CODE XREF: _main+10↑j
__text:0000000100003E84                                         ; _main:loc_100003F4C↓j
__text:0000000100003E84                 MOV             X9, SP
__text:0000000100003E88                 SUB             X8, X29, #-var_8
__text:0000000100003E8C                 STR             X8, [X9,#0x20+var_20]
__text:0000000100003E90                 ADRL            X0, aD  ; "%d"
__text:0000000100003E98                 BL              _scanf
__text:0000000100003E9C                 LDUR            W8, [X29,#var_8]
__text:0000000100003EA0                 SUBS            W8, W8, #1
__text:0000000100003EA4                 STR             X8, [SP,#0x20+var_10]
__text:0000000100003EA8                 SUBS            X8, X8, #5
__text:0000000100003EAC                 CSET            W8, HI
__text:0000000100003EB0                 TBNZ            W8, #0, loc_100003F30
__text:0000000100003EB4                 LDR             X11, [SP,#0x20+var_10]
__text:0000000100003EB8                 ADRL            X10, dword_100003F50
__text:0000000100003EC0
__text:0000000100003EC0 loc_100003EC0                           ; DATA XREF: _main:loc_100003EC0↓o
__text:0000000100003EC0                 ADR             X8, loc_100003EC0
__text:0000000100003EC4                 LDRSW           X9, [X10,X11,LSL#2]
__text:0000000100003EC8                 ADD             X8, X8, X9
__text:0000000100003ECC                 BR              X8
__text:0000000100003ED0 ; ---------------------------------------------------------------------------
__text:0000000100003ED0                 ADRL            X0, aFuck1 ; "Fuck 1\n"
__text:0000000100003ED8                 BL              _printf
__text:0000000100003EDC                 B               loc_100003F4C
__text:0000000100003EE0 ; ---------------------------------------------------------------------------
__text:0000000100003EE0                 ADRL            X0, aFuck2 ; "Fuck 2\n"
__text:0000000100003EE8                 BL              _printf
__text:0000000100003EEC                 B               loc_100003F4C
__text:0000000100003EF0 ; ---------------------------------------------------------------------------
__text:0000000100003EF0                 ADRL            X0, aFuck3 ; "Fuck 3\n"
__text:0000000100003EF8                 BL              _printf
__text:0000000100003EFC                 B               loc_100003F4C
__text:0000000100003F00 ; ---------------------------------------------------------------------------
__text:0000000100003F00                 ADRL            X0, aFuck4 ; "Fuck 4\n"
__text:0000000100003F08                 BL              _printf
__text:0000000100003F0C                 B               loc_100003F4C
__text:0000000100003F10 ; ---------------------------------------------------------------------------
__text:0000000100003F10                 ADRL            X0, aFuck5 ; "Fuck 5\n"
__text:0000000100003F18                 BL              _printf
__text:0000000100003F1C                 B               loc_100003F4C
__text:0000000100003F20 ; ---------------------------------------------------------------------------
__text:0000000100003F20                 ADRL            X0, aFuck5 ; "Fuck 5\n"
__text:0000000100003F28                 BL              _printf
__text:0000000100003F2C                 B               loc_100003F4C
__text:0000000100003F30 ; ---------------------------------------------------------------------------
__text:0000000100003F30
__text:0000000100003F30 loc_100003F30                           ; CODE XREF: _main+40↑j
__text:0000000100003F30                 ADRL            X0, aFuck ; "Fuck"
__text:0000000100003F38                 BL              _printf
__text:0000000100003F3C                 MOV             W0, #0
__text:0000000100003F40                 LDP             X29, X30, [SP,#0x20+var_s0]
__text:0000000100003F44                 ADD             SP, SP, #0x30 ; '0'
__text:0000000100003F48                 RET
__text:0000000100003F4C ; ---------------------------------------------------------------------------
__text:0000000100003F4C
__text:0000000100003F4C loc_100003F4C                           ; CODE XREF: _main+6C↑j
__text:0000000100003F4C                                         ; _main+7C↑j ...
__text:0000000100003F4C                 B               loc_100003E84
__text:0000000100003F4C ; End of function _main
__text:0000000100003F4C
__text:0000000100003F4C ; ---------------------------------------------------------------------------
__text:0000000100003F50 dword_100003F50 DCD 0x10                ; DATA XREF: _main+48↑o
__text:0000000100003F54                 DCD 0x20
__text:0000000100003F58                 DCD 0x30
__text:0000000100003F5C                 DCD 0x40
__text:0000000100003F60                 DCD 0x50
__text:0000000100003F64                 DCD 0x60

下面这段jmp_table没有被ida认识

__text:0000000100003F50 dword_100003F50 DCD 0x10                ; DATA XREF: _main+48↑o
__text:0000000100003F54                 DCD 0x20
__text:0000000100003F58                 DCD 0x30
__text:0000000100003F5C                 DCD 0x40
__text:0000000100003F60                 DCD 0x50
__text:0000000100003F64                 DCD 0x60

这段是负责跳转的地方

__text:0000000100003EB8                 ADRL            X10, dword_100003F50
__text:0000000100003EC0
__text:0000000100003EC0 loc_100003EC0                           ; DATA XREF: _main:loc_100003EC0↓o
__text:0000000100003EC0                 ADR             X8, loc_100003EC0
__text:0000000100003EC4                 LDRSW           X9, [X10,X11,LSL#2]
__text:0000000100003EC8                 ADD             X8, X8, X9
__text:0000000100003ECC                 BR              X8

可以看到

__text:0000000100003EC0                 ADR             X8, loc_100003EC0

这代表0x100003EC0被作为调整的base

数据来源于

__text:0000000100003EB8                 ADRL            X10, dword_100003F50

LSL#2表示数据大小4个字节类型为dd

那怎么把下面的数据转换成偏移呢

__text:0000000100003F50 dword_100003F50 DCD 0x10                ; DATA XREF: _main+48↑o
__text:0000000100003F54                 DCD 0x20
__text:0000000100003F58                 DCD 0x30
__text:0000000100003F5C                 DCD 0x40
__text:0000000100003F60                 DCD 0x50
__text:0000000100003F64                 DCD 0x60

如下图所示找到user-defined

 紧接着选32bit,base用分析出的0x100003EC0

然后选中signed operand, 其实代表的是加操作数

 可以看出base+0x10,已经是找到了分支

 接着

 5个需要重点关注的点

Address of jump table:跳转表的地址

Element base value:

__text:0000000100003EC0                 ADR             X8, loc_100003EC0

这代表0x100003EC0被作为调整的base

Start of the switch idiom:switch 语句的首个指令的地址,这个不是很严格

Input register of switch: 这个必须填写

__text:0000000100003ECC                 BR              X8

switch analysis failed: switch information is incomplete or incorrect

错误可能是 寄存器没有填写

First(lowest) input value:第一个或者最小的 case 值,填写的1,错误可以观察出来

Default jump address:这个也可以观察出来

Signed jump table elements:计算跳转表元素时用加法

Subtract table elements:计算跳转表元素时用减法

修复后如下:

 

主要参考来源:

在 IDA Pro 中恢复 switch 语句 - ChinaNuke的博客

大帅锅1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDAswitch case反编译不出来的问题 解决方法
qq_36535153的博客
01-06 1326
对应的汇编如下: 解决方法是: 选中生成错误的那一段汇编 然后右键 有一个analyze selected Area 然后再 按tab 键 到 pseudocode 界面 就可以看到重新分析出来的代码 多出了好多的代码
IDApro权威指南》个人学习笔记
最新发布
10-11
IDApro权威指南》个人学习笔记是关于IDApro反汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款功能强大的反汇编工具,它可以对...
IDA修复跳表
huzai9527的博客
11-08 1818
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
IDA简单Switch-Case结构的汇编代码分析
faithzzf的专栏
11-22 4169
使用IDA进行静态逆向分析,很重要的一点是是对高级语言程序结构的解析,比如Switch-Case结构。IDA的F5功能很多时候会无法生成C语言代码,此时就需要我们自己分析汇编代码,理解switch-case结构等。    从简单入手, 测试使用的C++代码如下:     int switch_case(char a,int b,int *c,int d,int e) { switch(a)
IDA将反编译的10进制数 化成16进制数的设置
m0_65003238的博客
07-11 677
菜单栏选择Edit->Plugins->Hex-Rays Decompiler->Options-> Default radix 改成 16,就是16进制了。
IDA使用技巧随记
幸福之家的博客
03-21 905
计算PE文件偏移地址
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
1.逆向工程介绍,IDA页面简单介绍,开发和逆向的对比 2.如何定位MAIN函数,修改逻辑跳指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密源码 4.动态调试 包括动态调试解密案例 5....
给自己的ida使用ida使用
01-19
给自己的ida使用ida使用
IDAPython 初学者指南
05-27
IDAPython 初学者指南 IDAPython 初学者指南 IDAPython 初学者指南
IDA Pro权威指南
08-23
IDA Pro权威指南》中文版,讲的非常详细 目录详情: 第一章:反编译简介 第二章:逆向与反汇编工具 第三章:IDA Pro 背景知识 第四章:IDA 入门 第五章:IDA 数据显示窗口 ...... 很多实用内容包含在里面
idaIDA工具常见利用
qcwwww的博客
07-11 1001
整理一下个人的常用命令:shift + 12 显示字符串按下回车上面的 \ ,义符,就可隐藏ida对变量类型的标注/ ,在该行添加注释双击变量看变量地址或者进入函数ctrl+s 看各种区段的地址F5一键反汇编x:对变量或函数按x查看上级调用n:对变量按下 n ,对变量进行重命名g:跳到程序中的指定地址或者指定函数名ALT+T:搜索文本ALT+B:搜索16进制粉红色标识的为libc中的函数 白色标识的为代码中的函数C语言数组和指针: 例:list[1] = *(list +1) 即数组+下标表示
IDEA设置switch/case代码块自动补齐
热门推荐
michael's blog
12-25 2万+
IDEA设置switch/case代码块自动补齐
代码逆向(五)——switch-case识别技巧提高
蛛丝
08-12 3573
<br />我们前面为各位读者分别介绍了成if-esle与利用跳表两种优化模式,但是在最后我隐含着提出了一个问题,既如果我们的switch-case分支两个数之差大于50甚至更多的时候,那么我们此时是否仍需要利用跳表来解决问题呢?很显然我们不能这样做,假如我们遇到如下这段代码:<br /><br />int _tmain(int argc, _TCHAR* argv[])<br />{<br />    switch (argc)<br />    {<br />    case 0:<br />  
switch反汇编的四种形式
LDWJ2016的博客
10-14 1195
第一种形式: 当分支比较少时(VC6小于4),翻译成IF...ELSE结构。 第二种形式: 当分支比较多且分支常量连续时,生成一张大表。 第三种形式: 当分支比较多,分支常量连续但分支常量中间有少量断档时,生成一张大表,断档的分支在表中用default分支地址填充。 第四种形式: 当分支比较多,分支常量连续但分支常量中间有大量断档时,生成一张大表 + 一张小表,断档的分支不在占用大表的空
编译器对switch case结构的优化
happylife1527的专栏
10-16 1484
使用IDA分析Crack Me的时候,发现IDAswitch case结构的分析很是清晰,还发现了一个jump table for switch statement,也就是所谓的跳表了,是编译器优化的结果。对于case分支的值是连续的那种,所有分支的跳地址都会存入一个数组之中,然后通过case的值来寻址,如果值超出边界则直接跳到default分支所在地址。 .text:004010EA
IDA Pro基本简介
weixin_33711641的博客
11-20 2403
  IDA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window)。     IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头默认为红色,蓝色表示默认下一个执行块。 在寄存器窗口中显示着每个寄存器当前的值和对应在反汇编窗口中的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢...
使用IDA 分析高级数据结构
eqera的专栏
11-29 2万+
使用 IDA 反汇编时,一些数据和操作数的处理方式可能并不准确。IDA 允许我们手动去修 改这些数据的类型和定义,我们甚至可以使用类似高级语言的数据结构。 一个C 语言程序 为了介绍IDA 的数据分析处理功能,我们先看一个C 语言编写的使用特殊数据类型和结构 的小程序: #include #include // our structures // ==============
一个low逼的boofuzz脚本生成器
JackBoy的博客
08-14 1569
直接贴代码 def do_body(line): global script t=line.split('&') for i in range(len(t)): m,n=t[i].split('=') script+='\t\ts_static("%s=")\r\n' %(m) script+='\t\ts_string("%s", max_len=1024)\r\n' %(n) if i!=len(t)-1: script+='\t\ts_static("&
Android 查看进程名对应的apk路径
JackBoy的博客
10-19 1489
cat/data/system/packages.xml
ida将汇编换为c语言的使用教程
06-27
IDA是一款反汇编软件,可以将二进制文件换为汇编代码,方便逆向工程师进行分析和调试。而将汇编代码换为C语言代码,则可以进一步帮助开发人员理解代码结构和逻辑。接下来,本文将为您介绍IDA将汇编换为C语言的使用教程。 1.安装IDA:首先需要安装并打开IDA软件。 2.打开二进制文件:在IDA中打开二进制文件,选择File -》Open进行打开。 3.选择反汇编视图:选择View -》Open subviews -》Disassembly进行反汇编查看。 4.选择函数:在函数列表中选择需要换为C语言代码的函数。 5.换为C语言代码:选择File -》Produce file -》Create C file进行换。在弹出的窗口中选择需要换的函数、输出文件名和输出路径,然后点击OK。换完成后在指定目录下会生成一个C语言文件。 6.查看C语言代码:打开生成的C语言文件,可以查看从汇编到C语言的代码换结果。此时可以通过阅读C代码来更方便的理解程序的结构和运行流程,为开发和调试提供更加便捷的条件。 总之,IDA将汇编代码换为C语言代码可以更加便捷的理解程序结构和逻辑,更快的进行开发和调试。使用IDA换为C语言代码,逆向工程师可以更深入的研究程序的实现方式和算法,为软件开发和安全研究提供有力的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值