文章讲述了在遇到IDA分析ESP指针出现问题,特别是encrypt函数因加密无法正确分析时,如何使用Python进行解密并配合IDA工具进行函数重定义的过程。通过取消函数定义,将数据转为代码,最终成功修复函数分析。此外,还提及了对main函数的类似处理以及消除加密处理的方法。
分析失败esp分析出问题
打开堆栈指针,看看哪里出了问题
发现为encrypt函数异常
可以看到这里函数被加密了
用python解密
start_addr=0x0401500
for i in range(187):
x=idc.get_wide_byte(start_addr+i)
x^=0x41
ida_bytes.patch_byte(start_addr+i,x)encrypt函数分析失败,其实函数没有问题,只是IDA没有识别
首先取消encrypt定义,在函数头按u
然后将中间的数据转换为代码,将光标放在数据上,按c
最后在函数头按p,重定义函数,修复成功
finally函数同理
main还是有问题
在该函数头先u取消定义,再p创建函数就可以了
还可以nop掉对encrypt的加密处理,更完美了
扫一扫
1609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
