IDA 使用技巧

最新推荐文章于 2024-05-28 07:47:53 发布
最新推荐文章于 2024-05-28 07:47:53 发布
阅读量1.2k 收藏 3
点赞数
文章标签: IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39229739/article/details/78712331
版权



IDA 导入 C 头文件-更好的识别结构.........................................1使用 IDA 制作签名文件(sig 文件).................................................................

 

IDA 导入 C 头文件-更好的识别结构

快捷键:Ctrl+F9

 

遇到问题时,查看日志,再修改头文件,直到成功导入之后,相当于创建了很多结构 使用 IDA 制作签名文件(sig 文件)

IDA6.8 使用的是 flair68.zip 工具包

举例: 制作MFC Debug 静态库的签名 ① MFCDebug 静态库在哪里? 第一个:找 mfc 的头文件(include) 第二个:根据头文件附近的文件夹找库文件(lib) 第三个:根据库文件的名称猜测具体是哪个库,结合编译进行测试

MFC debug 库:uafxcwd.lib



 

Uafxcw.lib unicode Release 版本的静态库

Nafxcw.lib ascii Release 版本的静态库

Uafxcwd.lib unicode Debug 版本的静态库

Nafxcwd.lib ascii Debug 版本的静态库

 

② 怎么生成签名?签名是神马?使用 FLAIR 工具包

Fast Library Acquisition for Identification andRecognition

创建 coff lib 的签名需要两个文件,一个 pcf.exe, sigmake.exe


第一次命令,如果生称了 EXC 文件,说明有冲突,手动删除前 4 行

;---------(delete these lines to allow sigmake to read this file)

; add '+' atthe start of a line to select a module

; add '-' ifyou are not sure about the selection

; do nothing ifyou want to exclude all modules


IDA 中的 OEP 是 Exports 窗口中 start 名称

修改 IDA 中地址名称,使用快捷键 n,或者选择名称右键 rename 双击地址直接跳转到对应代码处

使用 esc 可以返回上一步操作 



芳华9166
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IDA 使用技巧
lusonglin121的专栏
03-03 1221
本文是最近在使用 IDA 的过程中总结的小技巧,可供初学者适当参考。文中提及了三个使用 IDA 时会遇到的问题以及解决方法:应用解密 查看 inline block 变量的函数定义 结构体变量成员的读写 应用解密在使用 IDA 或 class-dump 这些工具前,必须先对应用进行解密。这里会用到一个叫 dumpdecrypted 的工具。下载 dumpdecrypted 的源代码,在 Mac 上编
IDA动态调试so库
cyxvc
04-19 516
推送IDA根目录下dbgsrv->android_server到手机中 然后给android_server添加执行权限 电脑端运行adb shell,运行su(提升权限),然后启动android_server 命令: adb push android_server /data/local/tmp adb shell chmod 777 /data/local/tmp/androi
IDA详细使用教程,适合逆向新手的实验报告
最新发布
qq_53058639的博客
05-28 1513
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。一、软件介绍IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA
判断文件类型的工具_五,网络安全IDA Pro反汇编工具初识及逆向工程解密实战
weixin_39806779的博客
10-24 503
一.IDA Pro工具简介及初识1.IDA Pro简介IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro具有强大的功能,但操作较为复杂,需要储备很多知识,同时,它具有交互式、...
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2570
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
MFC程序反汇编之快速定位
04-25 5902
 目的:快数定位全局对象的构造函数 类的虚函数表 MessageMap表工具:IDA4.8 VC6SP61. Vc6迅速生成一个mfcdemo,基于dialog,整个程序由一个CWinApp子类和一个CDialog子类构成2. 编译得到release/mfcdemo.exe3. 给当前系统配置好symbol,用IDA4.80反汇编mfcdemo.exe4. 通过IDA names页可以迅速
给自己的ida使用ida使用
01-19
本篇文章将深入探讨IDA使用技巧和功能,帮助你更好地掌握这款强大的工具。 1. IDA界面与基本操作: IDA的界面分为几个主要部分:内存浏览器、反汇编窗口、图形流程图、结构窗口和交叉引用。初次使用时,了解这些...
每天一个IDA技巧(十一)IDA脚本基础和IDC1
08-03
返回值处理与C语言一致,使用return关键字,但函数可以根据执行路径返回不同数据类型。IDA 5.6后,函数可以作为参数和返回值进行传递。 IDC对象系统没有明确的访问权限控制,所有类成员默认都是公共的。创建类数据...
每天一个IDA技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
每天一个IDA技巧(五)C++基本特性1
08-03
使⽤用虚表指针导致的⼀一个后果是,在操纵 IDA 中的类时,你必须考虑到虚表指针。。 对象的⽣生命周期了了解对象的构建和撤销机制,有助于明确对象的层次结构和嵌套对象关系,并有助于迅速确定类构造函数和析构...
每天一个IDA技巧(七)IDA绘图1
08-03
IDA,全称Interactive Disassembler Pro,是一款强大的反汇编工具,广泛应用于软件逆向工程、漏洞分析等领域。本文将详细介绍IDA的绘图功能,帮助我们更好地理解和分析程序的结构。 IDA的绘图功能主要分为两种:...
每天一个IDA技巧(六)交叉引用1
08-03
IDA中,用户可以直接在反汇编窗口看到少量的交叉引用,但若需查看全部交叉引用,可以使用"View > Open Subview > Cross-references"菜单打开交叉引用子窗口,或者右键点击目标地址并选择"References to"或...
每天一个IDA技巧(二)基本代码转换--水印1
08-03
此时便需要手动帮助IDA分辨代码和数据,通常分为以下几类:数据转换为代码代码转换为数据指定一个指令序列为函数更改现有函数的起始或结束地址更改指令操作数的显示格式
IDApro权威指南》个人学习笔记
10-11
IDApro有一个活跃的社区论坛,提供了大量的资源和信息,包括IDApro的使用指南、插件开发、反汇编技巧等。 IDA 插件搜集 IDApro插件搜集提供了大量的IDA插件,包括代码优化、代码生成、代码分析等插件。这些插件...
每天一个IDA技巧(一)序言--水印1
08-03
在逆向工程中,IDA(Interactive Disassembler Pro)是一款非常重要的工具,它能帮助我们分析和理解二进制代码。本文将从IDA的基础知识出发,重点讲解ID
IDASignMaker:IDA高级技巧 API符号自动识别库 IDASignMaker
05-30
原帖子工具版本 sigmake.exe v1.4.5 dumpsig.exe v1.20使用方法以 D:\Program Files\Microsoft Visual Studio\VC98\Lib\LIBC.LIB 为例子cmd下运行 lib2sig.bat 参数lib的名字lib2sig.bat libc自动创建对应lib名字的...
脱壳:OEP(即程序入口点)查 --- 基本思路和常见方法
turbocc 因程序而激情
05-20 5145
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们到程序真正的OEP,就可以立刻脱壳。PUSHAD (压栈) 代表程序的入口点,POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般到这个,OEP就在附近。 常见寻OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选) 4.绿色线条表示跳转没实...
菜鸟脱壳之脱壳的基础知识(三)——寻OEP
banhanjun1518的博客
07-05 293
这节我们来讲讲如何寻一个程序的OEP,即OriginalEntryPoint。一些PE加壳程序在被加密的程序上面加了一个区段(有的壳也会合并区段),当外壳代码执行完毕以后,会跳到程序的本身的代码来执行,所以我们可以依靠跨区段的转移指令来寻程序的入口点。我们来看看加壳之前的Delphi7.0的程序,用LordPE来打开Delphi7.0程序,我们看到程序的入口点是004C498:看...
【线程同步系列4】线程死锁问题及解决办法
业精于勤,荒于嬉
06-19 1009
线程1拥有了临界区对象A,等待临界区对象B的所有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,就造成了死锁。对多线程来说,如果线程1拥有了临界区对象A,等待临界区对象B的拥有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,那么这就造成了死锁。下面通过代码来演示线程死锁的发生。下面,我们来分析上述程序的执行过程。当线程1得到临界区对象g_csA的所有权之后,调用 Sleep函数,让线程1睡眠1ms,这将导致线程1暂停运行,其目的是为了让线程2优先得到临界区对象g_csB的所有权。
iDA Pro使用教程
05-04
下面是使用 iDA Pro 的一些基本步骤和技巧。 1. 安装 iDA Pro 首先,你需要从 iDA Pro 官网(https://www.hex-rays.com/products/ida/)下载并安装该软件。iDA Pro 有免费版和付费版,免费版的功能相对较弱,付费...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值