IDA官网发布的每周技巧9----重分析

最新推荐文章于 2024-01-02 10:17:31 发布
最新推荐文章于 2024-01-02 10:17:31 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: IDA官网发布的每周技巧 文章标签: IDA 逆向
原文链接:https://hex-rays.com/blog/igor-tip-of-the-week-09-reanalysis/
版权

hex-rays官方发布了一套《Igor的IDA每周技巧》系列文章,内容不错,故进行跟踪翻译,期望对大家有所帮助。

第九篇原文:Igor’s tip of the week #09: Reanalysis

使用IDA时,有时需要重新分析IDB数据库的部分内容,例如:

  • 修改外部函数的原型之后(特别是调用约定、返回时要清理的栈空间字节数、“不返回”标签)
  • 修复自动检测失败的ARM/MIPS区域之后
  • 修改了全局处理器选项之后(如设置$gp值为MIPS)
  • 其它情况(如修改分析开关)

重分析单个指令

要重分析一个指令,将光标定位到指令的地址处,并按“c”键。即使这个地址处本身就是指令,按下按键也会执行完整重分析流程:

  1. 删除当前地址的交叉引用
  2. 处理器模块重新分析这个地址处的内容;重新分析会创建交叉引用,包括代码顺序流交叉引用。

重分析一个函数

改变函数的参数时,该函数的所有指令都需要被重分析(比如:此时需要重建栈上的变量)。所以,按下面的顺序按键将导致重分析整个函数:Alt+P(编辑函数),Enter(确认)。

译者:就是先打开编辑函数对话框,然后什么都不修改,直接点击确认。

重分析一大块指令

要进行该操作,可以使用选取操作那篇文章中介绍的技巧。

  1. 来到区域的起始位置
  2. 按下Alt+L(设置起始点)
  3. 到达区域的结束位置

按“c”(转换为代码)。在第一个弹出的对话框按“分析”,在第二个弹出的对话框按“否”。

重分析整个数据库

如果你想重新分析所有东西,但不想麻烦地去选取所有代码然后按“c”。IDA中有个“重分析整个程序”的专用命令,可以通过下面两个方法调用:

        1、选项->通常->“分析”标签页->“重分析程序”;

        2、在IDA窗口底部的状态栏右键,点击“重分析程序”;

 

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
六、IDA动态分析
生命不息 折腾不止
09-02 2952
6.1 本机调试 使用IDA打开exe,选择菜单Debugger下的Start process(也可以按F9键)来开始调试;在寄存器窗口中显示着每个寄存器当前的值和对应在反汇编窗口中的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢复。 6.2如何对DLL文件进行动态跟踪 用[F2]在IDA View中当前代码行切换断点。 启动装载DLL的EXE文件。 使...
[IDA] 分析for循环的汇编代码
weixin_34032621的博客
07-30 208
    在程序设计语言里面,循环是三种语言流程之一(顺序,分支,循环),这其中循环又是编程这件事中最具魅力的,它发挥了人在思维和计算机在计算方面的双方优势,体现了程序员的技巧和智慧,也体现了代码的简洁,优雅和优美。循环中最常用的应该是 for 循环,其他几种例如while,do while又基本上可以等效写成 for 循环。同时 for 循环又可以被等效改写为递归函数。本文首先通过VC创建一个含有...
IDA Pro切换到16bit模式,分析BootLoader
lixiangminghate的专栏
03-17 1178
最近想写一篇关于Intel开机上电执行Reset Vector指令的文章,遂提取了公司笔记本芯片上的Bootloader,并用UEFITool提取其中BootBlock部分(Reset Vector位于BootBlock内部): [图1,UEFITool加载提取的Bios image] [图2,从Bios Image中提取BootBlock] BootBlock的任务之一是将CPU从实模式切换到保护模式(16Bit Mode切换到32Bit Mode)。因此,BootBlock最开始部分是16
IDA逆向分析的方法
traceme2011的专栏
03-03 1万+
一、PE文件的分析流程。 1. 对于DLL文件,先查看它的导出表,确定一些功能函数。 2. 查看导出表,看调用了那些类型的API。比如可能有如下几类 (1)      文件操作、创建、写、读(2)      注册表操作,读、写(3)      提权相关函数(Privage)(4)      进线程函数 然后根据这写不同类型的导出函数,用X快捷键查看有哪些地方引用了,可以分析出一些sub_0xxxx...
IDA静态动态逆向分析基础
哆啦安全
01-01 1661
1.JDB和IDA调试步骤2 (1).JDB调试步骤2 (2).IDA调试步骤2 (3).定位函数2 (4).开始调试2 2.动态调试Android so库函数的方法2 3.strace查看系统调用3 4.IDA静态动态分析的快捷键3 5.gdb调试4 (1).准备调试4 (2).修改权限5 (3).端口转发5 (4).ps命令查询PID5 (5).gdbserverattach调试进程5 (6).运行gdb.exe5 6.常见工具5 ...
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
ida-cmake:IDA插件CMake构建脚本
05-10
IDA插件CMake构建脚本 该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件。 简单插件示例用法: 创建插件仓库 git init myplugin cd myplugin git ...
ida_ifl:IFL - 交互功能列表(IDA Pro 插件)
05-29
IFL - 交互功能列表 一个小插件,旨在提供用户友好的方式在函数及其引用之间导航。 许可证:抄送( ) 对于 Python 2 版本检查分支
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
1. IDA pro是7.7版本。...4. WinHex 由于IDA多用于分析,该软件用来修改对应的二进制。 5. Notepad++ 文件内字符串搜索必备,很多AndroidKiller无法搜索的字符串,都可以找到,因为AndroidKiller只能搜索双引号的。
IDA PRO 02 - 静态逆向分析基础02
a5right的博客
12-01 1988
之前我们的例子还没有分析完成,由于 算法分析部分会单独成一个系列,所以就不继续了,该系列的核心还是在于IDA的使用。本篇再介绍一些其他的IDA使用技巧,有些技巧在特定的地方会很好用。
Android IDA So的动态调试大法
热门推荐
雪一梦的博客
10-05 3万+
今天已是国庆的第五天,白天去武馆训练过后,晚上回来品一杯西湖龙井,更一篇博客,一来帮助需要之人,二来加深自己的理解。 下面就说关于在IDA中Android so的动态调试的问题以及在so的三个层次下断点的操作。 问题篇: 1.动态调试的作用以及与我们常说的脱壳区别之处? 2.IDA的下断点调试的原理? 3.有无反调试的步骤区别?以及原理? 4.反调试与反附加的区别? 5.I...
分析两种Dump(崩溃日志)文件生成的方法及比较
qq_43331089的博客
04-01 1036
分析两种Dump(崩溃日志)文件生成的方法及比较 做windows产品开发的,永远绕不开一个问题——程序崩溃。如果希望不断提升产品质量,就得不停的收集和分析崩溃日志。但是我们会发现一个问题,我们经常采用的方案无法拦截崩溃。比如会出现如下提示: 这是一个非常不好的体验,至少说这个是对提升软件质量无益的体验。虽然以上框可以通过如下代码禁用掉,但是仍然只是个掩耳盗铃的做法。 SetErrorMode(SEM_NOGPFAULTERRORBOX | SEM_NOOPENFILEERRORBOX); 我们先看一种
崩溃了没有生成dump的分析步骤
过好每一天的女胖子
11-01 4020
很大可能,在用户现场的时候,可能存在崩溃了但是没有生成dump的情况,可能只能有一些系统日志或者直接给你个截图什么的分析。那这种情况应该怎么分析呢? 1、系统日志的错误信息 首先我们可以看一下系统日志(控制面板\系统和安全\查看事件日志),打开事件查看器——windows日志——应用程序,根据崩溃的进程找到对应的错误日志 在常规页,我们可以知道以下信息: 错误应用程序名称以及版本 错误模块名称以及版本 异常代码 错误偏移量 错误进程ID 错误应用程序启动时间 错误应用程序路径 错误模块路径 报告ID 错误程
IDA入门【一】了解IDA
最新发布
小旺的博客
01-02 1059
工具栏区域包含与IDA的常用操作对应的工具。你可以使用View-Toolbars命令显示或隐藏工具栏。你可以使用鼠标拖放工具栏,根据需要重新设定它们的位置。带有单独一排工具按钮的IDA的基本模式工具栏如图4-9所示。用户可以使用View-Toolbars-Advanced mode打开高级模式工具栏。高级模式工具栏包含整整三排工具按钮。彩色的水平带是IDA的概况导航栏,也叫做导航带。导航带是被加载文件地址空间的线性视图。默认情况下,它会呈现二进制文件的整个地址范围。
crash工具解析_IDA反汇编静态调试Android平台C++的so文件Crash入门
weixin_39729272的博客
11-21 510
最近刚接触到Android的C++编译出的.so文件崩溃,从后台上报系统能得到ARM64平台下发生crash时pc寄储器地址和函数名称,但没有行号,以及当时栈帧对应的31个寄储器的值,,第一次用IDA调试,边用边百度,不到2小时就上手,很就查出野指针问题了。本文引入两个实战,一个野指针Crash,一个空指针Crash。由于以前做windows多,有C++反汇编基础,也有STL略底层点知识,只是没有...
bootstrap文件不能被识别_使用 IDA 处理 UBoot 二进制流文件
weixin_39708557的博客
11-22 93
作者:Hcamael@知道创宇404实验室时间:2019年11月29日最近在研究IoT设备的过程中遇到一种情况。一个IoT设备,官方不提供固件包,网上也搜不到相关的固件包,所以我从flash中直接读取。因为系统是VxWorks,能看到flash布局,所以能很容易把uboot/firmware从flash中分解出来。对于firmware的部分前一半左右是通过lzma压缩,后面的一半,是相隔...
IDA逆向技巧(持续更新)
生命不息 折腾不止
09-02 2万+
读者如果发现错误,请指正。 IDA逆向分析水平就是一个逆向工程师的水平;7.1 IDA与OD的联合使用 一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。 需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA中查找代码位置,具体方式如下: Edit ---> Segment ----- Rebase Program : 设置基地址; 在WINdbg中基地址...
re之ida和OllyDbg的使用与代码分析
qq_54929422的博客
02-07 1477
re之ida和OllyDbg的使用与代码分析Section1 两个逆向工具的作用:Section2 ida代码分析Section3 OllyDbg的基本操作 这里是ctf逆向小白学习之路的第一站 Section1 两个逆向工具的作用: 1:IDA pro7.0是完整版本 7.2只有64 f5可以查看源码,6.8 pro的有些文件grapf view不能分析,作用:静态调试,32位的程序用32位的ida分析 2:OllyDBG,作用:动态调试,只能调试32位的程序 Section2 ida代码分析
IDA分析so
03-29 4821
esff
ida 逆向代码 --- 双精度浮点型jumpout
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现方式通常是通过比较双精度浮点寄存器的值,并根据比较结果跳转到指定的地址。具体实现步骤如下: 1. 首先,使用IDA打开二进制程序,并进行逆向分析,找到双精度浮点型jumpout指令的位置。 2. 在跳转指令之前,通常会使用一条或多条指令将双精度浮点数的值加载到浮点寄存器中。 3. 找到进行比较的指令,该指令通常会使用浮点寄存器中的值与另一个双精度浮点数进行比较。比较操作可以是大于、小于、等于等。 4. 根据比较结果,使用条件跳转指令进行跳转。如果比较结果符合条件,则跳转到目标地址;否则,继续执行下一条指令。 5. 如果跳转成功,程序将会执行目标地址处的指令,否则继续执行下一条指令。 通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执行条件,来分析和修改程序的行为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值