浅谈逆向——静态分析简介(静态分析1)

最新推荐文章于 2023-12-01 10:32:52 发布
最新推荐文章于 2023-12-01 10:32:52 发布
阅读量1.3k 收藏 7
点赞数
分类专栏: 逆向工程 文章标签: IDA IDA简介
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38684512/article/details/86675010
版权

浅谈逆向-IDA简介

IDA PRO

  • IDA是按照区块装载PE文件的。
    .text | 代码块
    .data | 数据块
    .rsrc | 资源块
    .idata | 输入表
    .cdata | 输出表

IDA反汇编选项配置

Option->General(选项->常规)在这里插入图片描述

左侧从上至下分别为

  • 函数偏移
    包含段地址
    使用段名

  • 空白行
    数据/代码分界
    基础块边界
    源程序行号

  • 行前缀范例
    空白下限
    空白上限

右侧从上至下分别是

  • 行前缀
    栈指针
    注释
    可重复注释
    自动注释
    坏指令标记
    机器码数

  • 指令缩进
    注释缩进
    右边距

IDA界面简介

在这里插入图片描述

A:反汇编窗口 通过空格键切换图形界面和文字界面

B:输入窗口中列出了可执行文件调用的所有函数,列出了函数名称和包含该函数库的名称,列出的地址为虚拟地址,双击即转跳

C:导航栏提供加载文件地址空间线性视图

D:提示窗口用来反馈文件分析进度,状态消息,错误消息及IDA脚本或插件信息。

E:字符串窗口使用Shift+F12打开,它显示从二进制文件中提取的一组字符串,双击反汇编窗口则会跳转到该处与交叉引用结合使用,可以实现快速定位。

F:Ctrl+G 跳转到地址窗口,知道目标地址即可实现输入跳转。

交叉参考

XREF
CODE XREF:sub_XXXXXX+B(上箭头)j
j表示跳转
o表示偏移量
p表示子程序

参考重命名

将反汇编中默认名称改为你认为更适合自己理解的名称,增加代码可读性。方法:单击需要修改的名称,使用快捷键N打开更名对话框

Local name:局部符号名的作用域仅限了当前函数
Include in name list :将有一个名称被添加到名称窗口中
Public name: 由二进制文件输出的名称(DLL)
Autogenerated name:自动创建符号名
Weak name:弱符号,是公共符号的一种特殊形式

标签

Jump->Mark position,打开标记当前位置功能。使用快捷键Ctrl+M或者双击标签,执行跳转到标记位置,即可转跳到指定代码。

创建函数

IDA允许手动干预创建,编辑,删除函数。新函数由不属于某个函数的现有指令创建,或者由未被IDA以任何方式定义的原始数据创建。

将光标移动到创建的函数的第一个字节上Edit->Functions->Creat Functions,创建一个函数。(快捷键未P)必要时,IDA会将数据转化为代码,以便分析函数的结构,如果找到函数的结束部分,IDA将生成一个新的函数名,以函数形式重组代码。如果无法确定函数结束部分,或者发现非法指令,这个操作将会终止。删除函数Edit->Functions->Delete Function

代码和数据的转换

很多工具在进行反汇编的时候可能无法正确分区数据和代码,数据字节和代码字节可能会被互相错误的识别,程序可以利用这一点对抗反汇编。IDA可以使用人脑手动鉴别二者。

如果确信某段十六进制数据是一段指令,将光标移动至第一个字节的偏移位置,执行菜单Edit->Code(快捷键C)。P可以将某段代码定义为子程序,并列出参数调用。取消定义则Edit->Undefine(快捷键U)数据将重新以16进制的方式显示。

在代码行按D键,数据类型会在db,dw,dd之间转换.执行菜单Options->SetUp->Data types可以设置能多数据类型。

IDA 对简单结构的处理

字符串:

  • 以0结尾的C语言字符串 快捷键A转化确定未字符串的16进制数据 按U可转换会16进制数据

  • 以$结尾的DOS字符串 A默认是C语言字符串,可以在Options->ASCII string style中更改

  • 有时无法确定ASCII字符串 原因为字符串在程序中没有被直接调用过

  • 所有生成的字符串都可以在Names窗口看到(View->Open subviews->Names)

数组:

  • 将光标移动到需要处理的数据处,选择菜单栏Edit->Array(快捷键*)打开数组排列调整窗口

  • 每行项数会自动调整,调整右边距可以增加。三个填空分别是:数组大小,每行项数,对齐方式。

IDA对复杂结构的处理

结构体:

  • 创建结构体:
    对于一些常见的文件类型,IDA会自动加载相应的类库,在底层分析时,可以增加mssdk(windows.h),ntddk(ntddk.h)。这些类型库中由相应的结构体,用户分析代码的时候可以直接引用。快捷键Shift+F11(打开加载类型库窗口)

    单击右键菜单Load Type library弹出窗口Available Type Libraries窗口中选择类型库,查看并选择内置的结构体数据结构。View->Open subviews->Structures打开结构体管理窗口,单击Insert在弹出窗口中单击Add Standard Structure按钮,打开添加标准结构库窗口,查找所需函数名,就可以使用这些库了。

IDA调试器

Debugger->Select debugger 选择适合的调试器列表,根据文件类型选择后,就可以打开本机模式调试目标软件,Debugger菜单会以其他形式展开,通过Start Process调试目标文件。附加进程Debugger->Attach to process

在这里插入图片描述

A:反汇编
B:通用寄存器
C:显示加载到进程内存空间的可执行文件和共享库,双击打开符号的输出列表。
D:栈窗口

操作和OD差不多 不再赘述 有兴趣的老哥们可以研究下IDC

他们说快写一首情歌
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析逆向分析
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
逆向入门--何为OEP
一座明亮的小塔
04-11 1082
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。再用一个最幼稚的比喻来形容加壳的软件,那个带壳的软件,就是穿了衣服的人,要看它到底是男是女,就把衣服脱掉,不可能哪个生出来就穿了衣服吧,就像软件一样,写出来不可能就带壳的,都是后面加上去的。以上方法,针对不同的壳,至于OEP是什么样子,这个就不好说了,不同的语言写出来的样子就不一样,有高手能总结下OEP的样子吗?基础东西,老鸟绕过,新手要学破解的,必须掌握~~我也在学习中。
病毒分析教程第三话--静态逆向分析(上)
安全杂货铺
07-16 1547
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
chapter1:逆向工程之学习——静态分析
lmboss的博客
04-04 6105
第一回:逆向工程之学习——静态分析
逆向分析静态分析_Navtive_ISCC_2017
HWHXY的博客
02-01 321
ISCC_2017 MOBILE 小记
170512 逆向-静态分析技术
whklhhhh的博客
05-13 1027
1625-5 王子昂 总结《2017年5月12日》 【连续第223天总结】 A. 加密与解密 IDApro B. 动态分析技术是把程序加载到内存中然后进行调试 静态分析技术则是根据程序进行逆向,获得汇编代码或源代码,然后从程序清单上分析程序流程,了解模块完成的功能 高级语音编写的程序有两种形式,一种被编译成机器语言在CPU上执行,如Visual C++\Pascal等。由于机器语言和汇
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析,使用IDA静态分析全过程
180302 逆向-抵御静态分析(1)
whklhhhh的博客
03-22 473
1625-5 王子昂 总结《2018年3月2日》 【连续第517天总结】 A. 抵御静态分析(1) B. 静态分析逆向工程中常用的手段。 因此抵御静态分析也是一个很值得深入的话题。 花指令 在反汇编的过程中,存在着几个关键的问题。 其中之一就是数据与代码的区分问题。 汇编指令长度、多种多样的间接跳转实现形式,反汇编算法必须对这些情况作出恰当的处理,保证反汇编结果的正确性。 ...
手机平台应用开发微型技术博客——浅谈Android和微信小程序的对比
Lone奔跑者的博客
06-17 538
在本学期手机平台应用开发课上,老师同时给我们提供了微信小程序开发的资源。跟着做了一两个项目之后越发感觉两者在很多思想上的共性,最主要的几个区别比如逻辑层分别使用的是Java和Javascript语言、而视图层安卓使用XML而微信小程序借鉴了前端语言的思想,HTML变成了WX(微信) 正好先举一个我在安卓和微信小程序两个项目上都用到的例子来“抛个砖”: 关于如何实现一个界面里图片的轮播效果,来直...
一、C++语法基础(浅谈)
weixin_48347451的博客
03-06 891
浅谈C++语法基础 内存与cpu 编码规范 函数调用约定 栈溢出
浅谈暴力破解及验证码安全
L_lemo004的博客
09-22 3665
文章目录一、暴力破解及验证码安全注意事项二、C/S架构暴力猜解三、B/S架构暴力猜解四、Hydra安装及使用安装参数说明各种用法实例五、防范暴力猜解六、验证码安全工作原理存在的问题图片验证码的生成可能存在如下问题在验证码的程序实现流程方面可能存在如下问题对抗现状验证码未来可能的主要形式操作验证码安全0x01 验证码可重用0x02 验证码可识别0x03 客户端生成/显示/校验0x04 空验证码绕过0x05 验证码数量有限0x06 是否校验可控0x07 超过次数才开启验证码0x08 验证码可预测身份验证码安全0
静态逆向简单的ELF
shuishan_lmy的博客
06-13 2743
看到csdn中一篇文章:http://blog.csdn.net/fisher_jiang/article/details/6783922,该文章使用动态调试进行破解找到密码。由于自己对linux不熟悉需要学习段时间,就使用ida静态反汇编进行逆向。 要破解的文件链接:hackme 1、运行该程序,查看运行效果: 运行之后屏幕打印出:Password,Please? 随便输入字符串
第三章——静态分析技术-IDA的简单操作
weixin_30340775的博客
11-22 244
注释:按“:”输入的注释只会在该处出现,按“;”的注释会在所有的交叉参考处出现 字符串搜索View->Open Subviews->String,此处字符串可与交叉引用结合使用 按ESC退后,Ctrl+Enter前进 重命名:N 标签的使用:菜单项Jump->Mark...
IDA静态分析
一个孤独漫步者的遐想的博客
01-16 1518
IDA静态分析导航条函数窗口IDA主界面IDA View三种反汇编视图文本视图图表视图路径视图Hex View十六进制窗口Struceures结构体窗口Enums枚举窗口Imports导入函数窗口Exports导出函数窗口Strings字符串窗口常用功能及快捷键空格键切换文本视图与图表视图ESC返回上一个操作地址G搜索X查看交叉应用导入jni.h分析jni库函数步骤一步骤二步骤三步骤四 导航条 蓝色 表示常规的指令函数 黑色 节与节之间的间隙 银白色 数据内容 粉色 表示外部导入符号 暗黄色 表示ida
反汇编静态分析工具IDA
weixin_47495230的博客
01-23 1278
所谓静态分析,是相对于动态分析而言的。在动态分析的过程中,调试器加载程序,并以调试模式运行起来,分析者可以在执行过程中观察程序的执行流程和计算结果。但是,在实际分析中,很多场合不方便运行目标,比如软件的某一模块(无法单独运行)病毒程序、设备环境不兼容导致无法运行。那么,在这个时候,需要直接把程序的二进制代码翻译成汇编语言,方便程序员阅读。像这样由目标软件的二进制代码到汇编代码的翻译过程,我们称之为反汇编。ollyDbg 也具有反汇编功能,但它是调试工具,其反汇编辅助分析功能有限,不适用于静态分析
Android逆向之旅---静态分析技术来破解Apk
weixin_30835933的博客
11-28 604
一、前言从这篇文章开始我们开始我们的破解之路,之前的几篇文章中我们是如何讲解怎么加固我们的Apk,防止被别人破解,那么现在我们要开始破解我们的Apk,针对于之前的加密方式采用相对应的破解技术,Android中的破解其实大体上可以分为静态分析和动态分析,对于这两种方式又可以细分为Java层(smail和dex)和native层(so)。所以我们今天主要来讲解如何通过静态分析来破解我们的apk,这...
静态分析&&IDA
freedomDA的博客
03-30 1381
目标对象:2.crackme.exe 环境:windows 工具:IDA Pro(32bit) (带有F5插件) 目标:找到flag 程序功能描述:输入少于24个字符会提示需要24个字符并使得重新输入;如果输入正确的24个字符,即flag,输出成功;不正确的24个字符,则输出失败。 IDA分析目标程序 点击main函数 F5反汇编成C语言代码 main函数: int __cdecl main(int argc, const char **argv, const char **envp) { FILE.
IDA PRO 02 - 静态逆向分析基础02
最新发布
a5right的博客
12-01 2093
之前我们的例子还没有分析完成,由于 算法分析部分会单独成一个系列,所以就不继续了,该系列的核心还是在于IDA的使用。本篇再介绍一些其他的IDA使用技巧,有些技巧在特定的地方会很好用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值