IDA官网发布的每周技巧4----选取可以实现的更多功能

最新推荐文章于 2024-03-22 12:13:15 发布
最新推荐文章于 2024-03-22 12:13:15 发布
阅读量384 收藏
点赞数
分类专栏: IDA官网发布的每周技巧 文章标签: 逆向 IDA
原文链接:https://hex-rays.com/blog/igor-tip-of-the-week-04-more-selection/
版权

hex-rays官方发布了一套《Igor的IDA每周技巧》系列文章,内容不错,故进行跟踪翻译,期望对大家有所帮助。

第四篇原文:Igor’s tip of the week #04: More selection!

上一篇文章中,我们讨论了在IDA中选取操作的基本用法。本文我们讨论基于选取操作的更多功能。

分析固件、纯二进制文件

当反汇编一个纯二进制文件时,IDA无法确定哪些是代码,你需要通过不断试错来找到整个地址范围中哪些是代码,这个过程是很耗时的。在这种情况下,下面这一系列简单的操作在最初的侦查阶段很有用:

  • 跳转到IDA数据库的起始地址(Ctrl-PgUp)
  • 开始选取(Alt-L)
  • 跳转到IDA数据库的结尾地址(Ctrl-PgDn)。也可以跳转到你认为是代码区域结束的位置。(比如大块的0或0xFF之前)。
  • 选择Edit->Code,或者直接按c。将弹出一个对话框让你选择执行哪种行为:

  • 如果你判断所选区域内的大部分内容都是代码,点击“Force”。如果你判断所选区域中有数据,点击“Analyze”。
  • IDA将遍历所选区域,尝试将所有未定义的字节转换为指令。如果在这个区域内,确实包含代码,你将在函数窗口看到IDA分析出来的函数(但可能是错的)。

 Struct offsets

另一个使用选取区域能提高效率的操作是,对多个指令应用某个结构的偏移。

例如下面的UEFI模块:

.text:0000000000001A64 sub_1A64        proc near               ; CODE XREF: sub_15A4+EB↑p
.text:0000000000001A64                                         ; sub_15A4+10E↑p
.text:0000000000001A64
.text:0000000000001A64 var_28          = qword ptr -28h
.text:0000000000001A64 var_18          = qword ptr -18h
.text:0000000000001A64 arg_20          = qword ptr  28h
.text:0000000000001A64
.text:0000000000001A64                 push    rbx
.text:0000000000001A66                 sub     rsp, 40h
.text:0000000000001A6A                 lea     rax, [rsp+48h+var_18]
.text:0000000000001A6F                 xor     r9d, r9d
.text:0000000000001A72                 mov     rbx, rcx
.text:0000000000001A75                 mov     [rsp+48h+var_28], rax
.text:0000000000001A7A                 mov     rax, cs:gBS
.text:0000000000001A81                 lea     edx, [r9+8]
.text:0000000000001A85                 mov     ecx, 200h
.text:0000000000001A8A                 call    qword ptr [rax+50h]
.text:0000000000001A8D                 mov     rax, cs:gBS
.text:0000000000001A94                 mov     r8, [rsp+48h+arg_20]
.text:0000000000001A99                 mov     rdx, [rsp+48h+var_18]
.text:0000000000001A9E                 mov     rcx, rbx
.text:0000000000001AA1                 call    qword ptr [rax+0A8h]
.text:0000000000001AA7                 mov     rax, cs:gBS
.text:0000000000001AAE                 mov     rcx, [rsp+48h+var_18]
.text:0000000000001AB3                 call    qword ptr [rax+68h]
.text:0000000000001AB6                 mov     rax, [rsp+48h+var_18]
.text:0000000000001ABB                 add     rsp, 40h
.text:0000000000001ABF                 pop     rbx
.text:0000000000001AC0                 retn
.text:0000000000001AC0 sub_1A64        endp

如果我们已知gBS是指向EFI_BOOT_SERVICES的指针,我们就可以把对gBS加一个偏移的访问操作,转换为对该结构内某偏移处的成员的访问操作。我们可以人工找到所有对gBS加固定偏移的访问操作,并人工将访问操作重命名为对EFI_BOOT_SERVICES结构的成员的访问操作,但这太费事了。

这时选取操作能带来很大便利。我们选择访问结构成员的指令,按T(structure offset),将弹出一个新窗口:

你可选择哪个寄存器为结构的基地址,对这个寄存器应用哪个结构。在右边的窗口中,列出了IDA自动分析的包含该寄存器加固定偏移的所有指令,这些都可能是对该结构成员的访问。但IDA也会存在分析错误的情况,你可以在这里勾选哪些指令不应用该结构进行分析。

在本例中,选择rax和EFI_BOOT_SERVICES后,反汇编代码变得更可读了:

.text:0000000000001A64 sub_1A64        proc near               ; CODE XREF: sub_15A4+EB↑p
.text:0000000000001A64                                         ; sub_15A4+10E↑p
.text:0000000000001A64
.text:0000000000001A64 Event           = qword ptr -28h
.text:0000000000001A64 var_18          = qword ptr -18h
.text:0000000000001A64 Registration    = qword ptr  28h
.text:0000000000001A64
.text:0000000000001A64                 push    rbx
.text:0000000000001A66                 sub     rsp, 40h
.text:0000000000001A6A                 lea     rax, [rsp+48h+var_18]
.text:0000000000001A6F                 xor     r9d, r9d        ; NotifyContext
.text:0000000000001A72                 mov     rbx, rcx
.text:0000000000001A75                 mov     [rsp+48h+Event], rax ; Event
.text:0000000000001A7A                 mov     rax, cs:gBS
.text:0000000000001A81                 lea     edx, [r9+8]     ; NotifyTpl
.text:0000000000001A85                 mov     ecx, 200h       ; Type
.text:0000000000001A8A                 call    [rax+EFI_BOOT_SERVICES.CreateEvent]
.text:0000000000001A8D                 mov     rax, cs:gBS
.text:0000000000001A94                 mov     r8, [rsp+48h+Registration] ; Registration
.text:0000000000001A99                 mov     rdx, [rsp+48h+var_18] ; Event
.text:0000000000001A9E                 mov     rcx, rbx        ; Protocol
.text:0000000000001AA1                 call    [rax+EFI_BOOT_SERVICES.RegisterProtocolNotify]
.text:0000000000001AA7                 mov     rax, cs:gBS
.text:0000000000001AAE                 mov     rcx, [rsp+48h+var_18] ; Event
.text:0000000000001AB3                 call    [rax+EFI_BOOT_SERVICES.SignalEvent]
.text:0000000000001AB6                 mov     rax, [rsp+48h+var_18]
.text:0000000000001ABB                 add     rsp, 40h
.text:0000000000001ABF                 pop     rbx
.text:0000000000001AC0                 retn
.text:0000000000001AC0 sub_1A64        endp

强制转换为字符串

当指令对字符串进行操作时,IDA通常都能识别出被操作的是个字符串,并将被操作的字节串转换为字符串。但是有些情况下,IDA不会进行自动转换:

  • 字符串包含非ASCII字符
  • 字符串不以NULL结尾

常见的一个例子是,Linux内核使用一个特殊的字节串来区分不同内核消息类型。例如,joydev.ko内核模块的这个函数:

 因为以非ASCII字符开头,导致IDA没有自动在地址IBC8处创建字符串。我们可以选择该字符串的所有字节,并按A(转换为字符串),IDA就会强制创建一个字符串:

从数据内容创建结构

 这个操作在分析结构时很有用。我们假设有一个如下结构组成的表:

struct copyentry {
 void *source;
 void *dest;
 int size;
 void* copyfunc;
};

我们可以人工在结构窗口创建这个结构。通常我们会先确定每个数据的类型,然后创建一个包含这些数据类型的结构。但在确定每个数据的类型后,我们也可以直接选取这些数据并右键,然后选择“Create struct from selection”:

 IDA会自动创建一个能表示所选数据的结构,之后我们可以直接使用这个自动创建的结构来分析其它使用该结构的代码:

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA 下载
taoli188的博客
06-06 1万+
IDA 下载 链接: IDA 反编译下载地址. https://www.hex-rays.com/products/ida/support/download.shtml
逆向工具IDA下载网址
FY_2018的博客
12-24 6575
官方地址链接:IDA 地址.https://www.hex-rays.com/products/ida/support/download.shtml
IDA官网发布每周技巧3----IDA中的选取操作
一个热爱逆向,喜爱学习、分享的猿。
11-11 554
第三篇原文:Igor’s tip of the week #03: Selection in IDA 本文内容关于如何在IDA中选择一块内容,以及你可以对选择的内容执行什么操作。 不像前两篇文章只关注如何使用键盘,本文我们也要使用鼠标。 IDA中的操作以及操作被应用的目标 当在IDA中执行一个操作时,默认被操作的是当前光标选择的目标或光标所在的地址。然而,有时你希望对多个目标或一个地址范围执行相同的操作,如: 对一个地址范围内的指令undefine操作 将一个地址范围内的字节转换为字符串(不
IDA官网发布每周技巧2----通过IDA界面能进行哪些操作以及如何找到它们
一个热爱逆向,喜爱学习、分享的猿。
11-03 331
hex-rays官方发布了一套《Igor的IDA每周技巧》系列文章,内容不错,故进行跟踪翻译,期望对大家有所帮助。 第二篇原文:Igor’s tip of the week #02: IDA UI actions and where to find them 上一篇文章中,我们了解了如何使用键盘快速对IDA执行操作。但有时,你需要重复执行某个操作很多次,但这个操作没有默认关联的快捷键,你只能一遍一遍点击菜单。或者有一个快捷键能帮助你,但你不知道去哪找到它(有些操作不在菜单中)。有两个IDA功能将对你有帮
IDA - 字符串表的增量比较
最新发布
谢绝留言与私信
03-22 500
想将程序中能出现在IDA分析的字符串表中的字符串做一下处理, 不让逆向工程师直接分析.首先就是将在程序中的字符串IDA找出来.然后将IDA字符串表保存起来为文本.然后写程序再用IDA分析新增量程序的字符串表, 再保存字符串表为文本.然后BC4比较, 就知道自己程序中新增了哪些字符串, 然后对这些字符串做处理.
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
ida_ifl:IFL - 交互功能列表(IDA Pro 插件)
05-29
IFL - 交互功能列表 一个小插件,旨在提供用户友好的方式在函数及其引用之间导航。 许可证:抄送( ) 对于 Python 2 版本检查分支
BRUTAL-IDA:阻止重做和撤消以实现IDA
04-26
阻止重做和撤消以实现IDA 问题 众所周知,IDA不能撤消。 禁止撤消-不投降。 因此,很自然地,IDA 7.3添加撤消功能破坏了每个人的工作流程。 在媒体上 这将站不住脚。 解决方案 BRUTAL IDA通过阻止undo和redo键盘...
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
1. IDA pro是7.7版本。...4. WinHex 由于IDA多用于分析,该软件用来修改对应的二进制。 5. Notepad++ 文件内字符串搜索必备,很多AndroidKiller无法搜索的字符串,都可以找到,因为AndroidKiller只能搜索双引号的。
ida-embed-arch-disasm:允许IDA PRO在32位数据库中反汇编x86-64代码(WOW64)
05-08
如果使用IDA 7和高版本,请确保下载并安装适用于Python版本和体系结构的capstone ,因为IDA 7默认为64位。 您可以在找到二进制安装程序 安装 安装capstone 下载主插件模块 ( Right click the link -> Save link ...
IDEA创建唯一字符串
m0_73206295的博客
11-24 131
创建一个不重复的惟一的字符串
IDA-自定义字符串编码类型
counsellor的专栏
12-28 2047
最近在使用IDA时,发现有些字符串的标记是text不是db,并且undefine之后,按’A’键转换不成text格式的字符串,甚至根本不是完整的字符串。这个text到底是什么,改如何转换此类字符串呢?
IDADemo版和免费版下载方法
weixin_33774308的博客
06-02 4399
2019独角兽企业重金招聘Python工程师标准>>> ...
IDA简易教程
hscyypmail的专栏
05-30 2341
IDA简易教程                                     作者:www.datarescue.com                                                              mailto:winroot@126.com2004-11-20    初步翻译完成,希望大家指正错误,谢谢!我的鸟语太差大概翻译
IDA PRO逆向调试记录与常用快捷键
热门推荐
u010725842的专栏
02-23 2万+
使用IDA Pro定位关键代码的方法: 1、搜索特征字符串。具体操作为:      ①快捷键Ctrl+S,打开搜索类型选择对话框-->双击Strings,跳到字符串段-->菜单项“Search-->Text”;      ②快捷键Alt+T,打开文本搜索对话框,在String文本框中输入要搜索的字符串点击OK即可; 2.tab查看函数。 3.ctrl+1, spance 4.G
IDA逆向技巧(持续新)
生命不息 折腾不止
09-02 2万+
读者如果发现错误,请指正。 IDA逆向分析水平就是一个逆向工程师的水平;7.1 IDA与OD的联合使用 一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。 需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA中查找代码位置,具体方式如下: Edit ---> Segment ----- Rebase Program : 设置基地址; 在WINdbg中基地址...
(转)IDA 中文字符串
zhangmiaoping23的专栏
05-13 6346
<br />标 题:Ida pro 里的中文字串(菜鸟进来) (2千字)作 者:nULL时 间:2003-4-1 11:22:03链 接:http://bbs.pediy.com<br /> Ida Pro 的默认设置里对中文字串的支持比较差,对于首字节大于'EO'的都显示成?了.其实... <br /> 打开IDA PRO 目录下的IDA.CFG <br /> 看到如下: <br /> .........................cut............
结构体偏移offset整理
陌上花开缓缓归以的博客
02-09 463
#includesstdio.h> //地址偏移量 #define OFFSET (type,member) ( (unsigned int) &(( type*)0)->member) typedef struct { int id; char name[201; float score; }STU; int main() { unsigned int size = OEFSET (STU,id) printi("gize= %d\n".size); size =.
逆向中静态分析工具——IDA初学者笔记
weixin_30532987的博客
10-17 6506
//******************************************************************************//IDA初学者笔记 //******************************************************************************//作者:Cai//日期:2011-10-18//***...
ida 逆向代码 --- 双精度浮点型jumpout
08-01
通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执行条件,来分析和修改程序的行为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值