sp-analysis failed

最新推荐文章于 2023-01-03 19:42:22 发布
最新推荐文章于 2023-01-03 19:42:22 发布
阅读量4.1k 收藏 7
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/singleyellow/article/details/79152804
版权

在使用ida做逆向时发现main2函数底部出现:main2     endp ; sp-analysis failed,刚使用ida打开时main2函数还没有出现栈指针分析失败。估计在分析时不正确的修改致使ida对栈指针分析出错。图如下:

一个明显错误的地方就是0X00403C22到0X00403C27处,在调用了firstClass_Init函数(有一个参数)后,栈顶指针还是02C,没有变成028,解决办法:

1、在0X00403C22处点击02C栈顶,右键点击Change stack pointer…(快捷键Alt+K),修改成0X4,如下图:


修改之后此处显示正常。但是函数结束处依旧有:sp-analysis failed

2、选择编辑函数,把0X24修改成0X14,如下图:


此时依旧sp-analysis failed

3、同第二步,只是要修改firstClass_Init函数,0x10。如下图:


sp-analysis failed在main2函数底部消失。

造成栈顶分析失败的原因有很多,这只是其中一种,并不能用来解决所有的栈顶分析失败。

更详细的原因可以参考《IDA Pro权威指南》第90页函数特性。


不止一次遇到栈指针分析错误的情况,总结以下几点:

1、确定本函数的栈大小、传入参数数量、是否保存寄存器,对本函数做响应修改


2、在本函数内部分析每一行的栈指针,看ida有没识别错误的,如果有识别错误的通过Alt+K修改过来

拜乔布斯
关注
专栏目录
18/09/24-2-IDA反编译失败positive sp value has been found及sp-analysis failed问题的解决
qq_39539312的博客
09-25 1598
0x00 程序链接:https://pan.baidu.com/s/1p6d4ZiBnM3bI-EnGWThtkQ 密码:21w4 0x01 问题:在使用IDA对程序进行费分析发现sp-analysis failed,以及f5反编译时出现warning。 0x02 原因:堆栈不平衡。 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际...
SQL Server 2014 SP1 通过补丁KB3058865提供更新,SP1一文便知
夜澜偶作庄周梦 酒后聊为楚客狂
05-31 1万+
Microsoft SQL Server 2014 SP1 更新:        SQLServer2014SP1-KB3058865-architecture-language.exe安装完成后版本 12.0.4100.1.主要特性包如下:Microsoft® SQL Server® Backup to Windows® Azure® ToolMicrosoft SQL Server Backu
IDA出现“sp-analysis failed”和F5无法反编译的解决方法
想做大佬的挂件
04-03 5157
IDA出现“sp-analysis failed”和F5无法反编译的解决方法 只会看别人writeup的小白一枚 最近刚刚学习逆向知识,并开始尝试做creakme,果然出现了各种稀奇古怪的问题,逆向creakme后出现“endp ;sp-analysis failed”,没办法F5反编译,对我这种小白真的太不友好了,在此记录一下。 这种可能是存在花指令或者函数被拆分,导致IDA无法继续分析。 解...
IDA出现"sp-analysis failed"和F5(反编译)失败
热门推荐
lixiangminghate的专栏
12-16 1万+
本来想拟的标题是"IDA sp-analysis failed F5失败",因为网上有很多这种类型为标题的讨论。可是,我实际了一把,发现出现这种现象至少是有2个原因导致,就有了这篇文章的标题。 先来看看产生“sp-analysis failed”现象的原因,摘自ida官网: Problem: Failed to trace the value of the stack pointer
IDA为什么产生 sp-analysis failed 错误?
Jingle的专栏
03-21 9844
问:用IDA静态分析,函数结尾出现 endp ; sp-analysis failed 用F5调不出伪代码,不知道是什么原因,请问有什么解决办法没有? 答:endp ; sp-analysis failed. 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就
IDA sp-analysis failed 不能F5的 解决方案之(一)
zhangmiaoping23的专栏
02-04 1万+
转:http://bbs.pediy.com/showthread.php?t=140002 第一种情况: 有时候用IDA F5的时候遇到带sp-analysis failed 的函数会失败. 这只是一个极其简单的一个例子.希望大家能依此类推.也更希望大家把类似的代码放出来一起解决。原本是一朋友问我的,我只是顺便发出来.以后遇到类似情况百度就可以找到了。 代码: .tex
19.IDA-栈指针调节、设置函数特性
hgy413的专栏
02-03 6280
栈指针调节 IDA会尽其所能跟踪函数内每一条指令上的栈指针的变化。IDA跟踪这种变化的准确程度,在很大程度上影响着函数的栈帧布局的准确程度。如果IDA无法确定一条指令是否更改了栈指针,你就需要手动调整栈指针 如果一个函数调用了另一个使用stdcall调用约定的函数,就会出现上述情况,这是最简单的一种情况。如果被调用的函数位于IDA无法识别的共享库中(IDA拥有与许多常用库函数的签名和调用约
【推荐】IDA sp-analysis failed 不能F5的 解决方案之(二)
zhangmiaoping23的专栏
02-04 5872
转:http://bbs.pediy.com/showthread.php?t=158896 高手飘过~,本文章只想让搜索引擎收录,以便那些新手查找的。 如图, 代码是红色的,就是说IDA没有分析出来,为了方便分析,我们会用快捷键P(Create Function) 来创建函数.只是我们在函数头部 按P的时候 总会提示 The function ha
IDA使用的几个技巧
02-06
IDA使用的几个技巧,例如sp-analysis failed等错误的处理方法。
解决IDA sp-analysis failed错误及结构体管理技巧
"本文主要介绍了使用IDA进行反编译时可能会遇到的问题以及解决方法,特别是针对'sp-analysis failed'错误的处理策略,同时也讲解了如何利用IDA定义和管理结构体,包括结构体的导出与导入,以提高分析代码的可读性。...
IDA decompilation failure - positive sp value has been found
ATree的博客
10-31 2709
最近在使用IDA分析恶意程序时,该程序使用了大量对抗静态分析的方法,使得我在分析时总是使用OD看汇编,但它里面由于call太多,跟了很多以后我都不知道这个call返回到哪里了,于是觉得还是想办法看能否F5下,转成伪代码,看着速度会快很多,于是就有了这篇文章,直接进入主题。 拿这一段代码举例说明如何处理,首先这里红色的0FF98A7B1就是对抗静态分析的一种方法,我们需要先U一下转换为未定义的...
ctf 逆向 回顾与总结
weixin_42100211的博客
09-19 6152
记录了我的逆向入门过程。
初级花指令
最新发布
weixin_73384894的博客
01-03 450
花指令
同名model导致的Invalid operation for the current cursor position
打造核心知识库
04-20 2315
 使用分隔面板,在面板的上下区间内,各做一个表格显示数据库的数据,上区表格点击任意行时,下去表格根据选中的行找出与之对应的另一个表中的数据集.(在我的OA项目--客户管理中实现)以下是抽取的两个表格显示的方法:private void tup(String Tsql) {  String sql;  db = new dbsql();  db.connect();  if (Tsql.eq
xmanday2 IDA逆向从入门到放弃
zsj2102的专栏
08-02 3181
view/subview/shift+F5 内存断点 区段断点(alt+M).text下断点 ALT  +A改变字符串编码option/string style edit/export data 设置间接跳转地址 switch 7、IDAPython IDA自带支持脚本 可以使用几乎所有IDA提供的API 可以快速完成大量重复性操作 方便的了解IDA内部的数据
没有sig文件时在IDA中定位main函数的一种方法
BiCai2的博客
09-14 3651
当有sig文件时,IDA会自动定位到main函数 .text:004013B0 .text:004013B0 ; =============== S U B R O U T I N E ======================================= .text:004013B0 .text:004013B0 ; Attributes: bp-based frame .text:004
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拜乔布斯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值