逆向知识
杏林小轩
故不积跬步,无以至千里;不积小流,无以成江海。
展开
-
ELF64文件逆向分析知识—[0]搭建动态调试环境
之前一直学习Windows下的32位PE文件的逆向,已经可以通过Ollydbg和IDA结合分析可执行文件的逻辑。最近需要逆向分析一个Linux下的64位ELF可执行文件,发现了很多问题,下面是我分析和解决过程。搭建动态调试环境第一个问题摆在了我的面前,Ollydbg不能调试Linux的ELF可执行文件。Ollydbg提供了方便的调试界面,让我们很容易通过查看寄存器、栈和内存来分析程序的运行细节,这极原创 2016-12-04 14:19:58 · 9505 阅读 · 5 评论 -
ELF64文件逆向分析知识—[2]制作静态库SIG
背景在搭建IDA调试远程Linux的环境过程中,我在Linux上使用file工具查看ELF文件得到了一下信息: 这个可执行文件是使用的是静态编译,同时在最终生成可执行文件时,删除了符号表和重定位信息。所以在IDA中看到的汇编代码如下:函数调用都显示的是IDA生成的“哑”名(eg,sub_414410),这对分析函数功能时造成了很大障碍,因为花了很大精力分析了某一个函数调用的功能后,发现这是一个静态原创 2016-12-04 15:18:42 · 2867 阅读 · 2 评论 -
ELF64文件逆向分析知识—[1]64位逆向基础知识
第一次用IDA打开ELF64可执行文件进行分析,有种刚学逆向的错觉,各种之前不认识的寄存器,函数调用完全找不到函数参数是怎么传递的。看来有必要恶补一下x64位CPU的和逆向分析相关的知识。原创 2016-12-04 14:57:33 · 7420 阅读 · 0 评论 -
ARM处理器体系结构知识—[0]寄存器
ARM运行模式用户模式(User):ARM处理器正常的程序执行状态。快速中断模式(FIQ):用于高速数据传输或通道处理。外部中断模式(IRQ):用于通用的中断处理。管理模式(Supervisor):操作系统使用的保护模式。数据访问终止模式(Abort):当数据或指令预取终止时进入该模式,可用于虚拟存储及存储保护。系统模式(System):运行具有特权的操作系统任务。未定义指令中止模式(原创 2017-01-11 18:41:33 · 1019 阅读 · 0 评论 -
ARM处理器体系结构知识—[1]寻址方式
不同平台下的机器指令基本上都是进行数据处理的指令,这些指令大致可分为:读取、写入和运算。从CPU的视角看来重要的不是数据的值是多少,而是我该从哪里获取数据。从处理数据的机器指令把数据的位置分为:立即数。数据直接保存在机器指令中,MOV R0 , 1546寄存器。数据保存在寄存器中,在机器指令中给出相应的寄存器名称,MOV R0 , R4内存。数据保存在内存中。机器指令使用多种灵活的方式进行原创 2017-01-16 17:23:22 · 817 阅读 · 0 评论