【IDA疑难杂症修复】

最新推荐文章于 2024-04-06 15:05:11 发布
最新推荐文章于 2024-04-06 15:05:11 发布
阅读量2.6k 收藏 8
点赞数 2
分类专栏: CTF-Reverse 文章标签: windows 系统安全 c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/131512318
版权
本文介绍了在使用IDA进行逆向分析时可能遇到的问题及解决方案,包括如何修改函数大小限制,处理堆栈不平衡,识别和修复switch语句,以及在idaDecompileascall中处理函数调用的特殊情况。针对每个问题,提供了详细的操作步骤和分析方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们在使用IDA进行逆向分析的时候,会遇到一些问题,这篇文章来带领大家学习IDA中疑难杂症的修复:函数大小限制,栈不平衡,switch无法识别(跳转表修复),ida Decompile as call。

一.函数大小限制

通常IDA反编译函数时会有大小限制,超过这个大小就会反编译失败,而这个大小是我们可以修改的。
修改方法:
打开IDA的安装目录,找到cfg文件夹下的hexray.cfg,搜索MAX_FUNCSIZE将64改为1024。

FUNCSIZE

二.堆栈平衡

如果函数堆栈不平衡,会导致IDA positive反编译出错。

网上关于这个问题的教程多数都是让调栈指针,然后怎么alt+k如何去修复,其实他们没有发现问题的本质,一旦稍微变化,就无法解决IDA重新反编译,这种问题应该对症下药。

总的来说思路就是:因为这种情况出现的原因时函数堆栈不平衡,这个时候就应该去检查函数中对栈进行操作的指令,并判断是否平衡

分析方法:

    1. 分析函数头函数尾,检查堆栈是否平衡
    1. 当函数头函数尾平衡时,我们分析函数内部对栈操作的指令,以及部分函数的调用约定是否识别正确(调用约定识别不正确也会破坏堆栈平衡)

三.switch无法识别(跳转表识别)

我们想要修复switch,必须先对switch case汇编进行分析,识别出这是switch case语句,之后再进行修复。

修复方法:
光标移动到switch语句的值的哪一行(通常是mov,eax eax),然后选择Edit->Other->Specify Switch idiom,这时候就会跳出来一个窗口,让我们修复switch语句。

参数填写:

  • Address Of jump table:跳转表的首地址
    Number of elements:跳转表的项数(这个学过C++汇编的同学肯定会识别),也就是switch中,除default的case个数
    Size of table element:跳转表每一项的字节数(一般就是从lea rax,da 0[rax*4]这条指令或者直接去跳转表查看得到,也有可能是其他固定值)
    Element base value:跳转表偏移的基地址,观察汇编得到偏移与跳转表的首地址相加,跳转表中的偏移时相对于跳转表首地址的,也有可能是其他固定值。
    Start of the idiom switch:switch语法的起始地址
    Input register of switch:switch(var)中的var对应的寄存器(该寄存器应该是switoidiom处的)
    Signed jump table elements:跳转表的元素是有符号的,因为有负数
    其他没有提到的选项,默认即可,再次按下F5反编译即可得到正确的结果。

四.ida Dwcompile as call

场景一:

强网杯某vm逆向
设想这样一种情况:在某个自定义的运行环境中,syscall
强网杯

上图的自定义环境中的rax的值作为syscall的调用符号,返回结果也是通过rax传递
默认情况下,ida认为此处的syscall不会修改rax的值,导致rax寄存器常量传播优化,最后得到的代码结果如下:
1
从上图中可以看出,ida会直接进行常量传播优化,那肯定时错的。

ida直接将某一条指令强行解释为函数调用,操作方法:

    1. 选中syscall指令
    1. 菜单->Edit->Other->Decompile as call
    1. 输入函数定义

场景二:
ida
由于两次fs:0读取,ida会认为两次读取结果一样,就只会保留一次结果,实际上,vm在每次读取fs:0的时候,修改fs:0,这就导致错误
错误的反编译结果如下:
错误
修改方法:将两次读取fs:0的指令用Decompile as call定义为:__int64 GetKey();不给参数,效果很好。

IDA系列--高级技巧--JUMPOUT处理
Tasfa的博客
05-23 3301
当使用IDA逆向分析时,会遇到各种各样的无法F5反汇编的情况,例如JUMPOUT情况,本文通过各种例子讲解如何处理这种情况。
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
热门推荐
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
Python-FixIDAPython修复IDA加载IDAPython时出现的错误
08-10
FixIDAPython - 修复IDA加载IDAPython时出现的错误
IDA PRO 0B - 类型修复
a5right的博客
12-20 1734
结构体修复使用程序中的字符串来恢复字段名使用全局交叉引用来确定字段类型。
IDA Bad Type修正
DeathMemory的专栏
06-08 2054
在使用 IDA 调试 APK 时经常遇到变量无法识别的情况,需要在WatchView里面手动加入类型转换,如下图 但是官方给出的 DalvikDbg 文档里如下说: Attention! An incorrect type may cause the Dalvik VM to crash. There is not much we can do about it. Our recom
ida修复函数名
qq_26394845的博客
09-21 781
ida修复函数名。
IDA修复跳表
huzai9527的博客
11-08 2522
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
IDA ClassInformer PlugIn:IDA Pro插件可修复/提取/查看RTTI信息-开源
04-29
IDA Pro Windows对象RTTI vftable finder,fixer和lister插件。 放置结构定义,名称,标签和注释,以使类和结构vftable更具意义(“虚拟功能表”)。 在浏览的窗口中列出找到的RTTI结构和C ++类。 在克里斯·伊格尔...
使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
dvlinker的技术专栏
08-08 3万+
本文详细介绍如何使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常,并给出了问题分析实例。
IDA反编译软件-windows版本的
03-29
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDA,是总部位于比利时列日市(Liège)的Hex-Rayd公司的一款产品。开发IDA的是一位编程天才,名叫Ilfak Guilfanov。...
ida pro恢复去符号程序的符号
NoOneGroup
01-08 3549
ida pro恢复去符号程序的符号 新博客链接 序言 第一部分说的都是废话吧,对我来说,建议用后面部分的 恢复方法 lscanf 首先获得sig,我这里用的是lscanf里的sig 下载地址 先扫描下 python lscan.py -f stripped -S amd64/sig/ amd64/sig/libc-2.13.sig 12266/3369 (364.08%) amd64/sig/li...
IDA报错Unexpected fatal error while intitailizing Python runtime
Armey的博客
06-19 9369
IDA报错:Unexpected fatal error while intitailizing Python runtime. Please run idapyswitch to confirm or change the used Python runtime
Ida使用过程遇到的问题
lu6603547的博客
06-22 1754
1、如果出现:          Bogus or irresponsive remote server错误可能是adb断开了或者在adb shell中执行setenforce 0关闭selinux 安全机制(需要root权限) 2、jdb报无法附加VM的错解决方法:打开ddms或者在app权限清单添加android:debuggable=true 3、出现bind: Add
IDA无法反编译 and 提示错误
weixin_52369224的博客
11-01 6883
情况一: 有的时候IDA的函数点进去 ,发现无法去反编译,可能是代码出问题了,考察我们对汇编的阅读 能力例如下面: aaa指令明显错误(注:CODE CREF代码交叉引用)我们把这里jbe和aaa nop掉 然后再选中红色部分,按p键定义为函数,然后重新反编译即可 ...
ida pro 使用F5碰到的陷阱与总结
feekee的自留研习地
10-29 3043
如下,直接上代码吧: 最近在做Flare-7 的break这道题,算是对linux下没有采用vm保护技术的crackme的一种挑战,遇到了下述的代码: 上图红色部分,明显执行时会报错;这是break这个crackme采取的一种机制,sub_0804C369这个进程是有另一个进程attach它的,并接收它的信号,进行相应的处理。上图红色部分会报SIGSEGV信号,查看调试它的进程的代码,如下: 可以看到,V34是栈保存的下一条指令,v33就是第一张图中的&loc_804c3c4,v32.
那些年使用IDA的事——防止F5错误优化
雪一梦的博客
10-04 1万+
我们做逆向的知道IDA这一神器,但是神器也会犯错,使用神器进阶的时候这时候就需要人工来辅助,下面就IDA F5中一个问题做记录。。 问题篇: 什么问题呢? 我们就拿鬼哥之前那个等级破解那个样本,我们放在IDA中看核心.so文件,看汇编代码: 然而用F5看到的伪C代码是: 显然是不对的,没有对语句分析出来,接下来我们就系问题解决。。 原理篇: 由于Java_com_gg
堆栈认知——逆向IDA工具的基本使用_ida 8
最新发布
u010508150的博客
04-06 1346
图形界面与文件界面的切换使用空格键你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!如果你觉得这些内容对你有帮助,可以+V:Vip1104z获取!!!(备注:嵌入式)你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
ida使用Operand type将数转偏移指南以及switch修复
JackBoy的博客
07-19 753
First(lowest) input value:第一个或者最小的 case 值,填写的1,错误可以观察出来。紧接着选32bit,base用分析出的0x100003EC0。然后选中signed operand, 其实代表的是加操作数。switch 语句的首个指令的地址,这个不是很严格。这代表0x100003EC0被作为调整的base。这代表0x100003EC0被作为调整的base。可以看出base+0x10,已经是找到了分支。那怎么把下面的数据转换成偏移呢。5个需要重点关注的点。这段是负责跳转的地方。
IDA出现“sp-analysis failed”和F5无法反编译的解决方法
想做大佬的挂件
04-03 6059
IDA出现“sp-analysis failed”和F5无法反编译的解决方法 只会看别人writeup的小白一枚 最近刚刚学习逆向知识,并开始尝试做creakme,果然出现了各种稀奇古怪的问题,逆向creakme后出现“endp ;sp-analysis failed”,没办法F5反编译,对我这种小白真的太不友好了,在此记录一下。 这种可能是存在花指令或者函数被拆分,导致IDA无法继续分析。 解...
ida python
08-15
回答: IDA Python是IDA中一个强大的功能,可以通过编写Python脚本来扩展IDA的功能。安装IDA Python的步骤如下:首先,根据自己的IDA版本和Python版本,下载对应的IDAPython包。然后,将IDAPython解压后的Python文件夹内的所有内容覆盖掉IDA原有的Python文件夹。接下来,将IDAPython解压后的Plugins文件夹中的python.plw和python.p64拷贝到IDA原有的Plugins文件夹中。最后,将IDAPython解压后的python.cfg文件拷贝到IDA原有的cfg文件夹中。如果python2.7安装包中没有python27.dll,可以将python26.dll重命名为python27.dll,并确保python的系统位数与IDAPython的系统位数相同。安装完成后,可以通过编写IDA Python脚本来扩展IDA的功能。IDA Python文档提供了相关函数的详细说明,可以在官方网站上获取相关文档。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [IDA 配置python环境,可执行python脚本](https://blog.csdn.net/ayxh0058/article/details/101094191)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ida使用技巧:ida python](https://blog.csdn.net/m0_52164435/article/details/124878537)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值