逆向入门系列(2)静态分析工具ida的使用

最新推荐文章于 2024-05-01 07:30:13 发布
最新推荐文章于 2024-05-01 07:30:13 发布
阅读量8k 收藏 19
点赞数 3
分类专栏: 逆向 reverse Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010334666/article/details/82154191
版权
逆向 同时被 3 个专栏收录
18 篇文章 5 订阅
订阅专栏
reverse
15 篇文章 0 订阅
订阅专栏
Linux
15 篇文章 0 订阅
订阅专栏

博客已经转移

https://noone-hub.github.io/

先,ida的下载这个自己可以吧,不会的可以找我要ida6.8版本跟7.0版本,我只有这两个版本,6.8兼容32和64位系统,7.0只兼容64位系统,本文用的是6.8,在linux下,我用wine运行的打开ida后通常是这个界面,点击new

找到你要的文件,linux下的elf文件要选择all files才能找到,如何判断是elf文件,这我也不谈,可以自己百度,双击后便是这个界面,他也会给你判断是什么文件,直接点ok就好,进来后不要直接f5,会提示错误的,这里还不是main函数,你f5也没用,f5是转c代码的,

,学过c的都知道,main是起始函数,双击main进入,按esc可以返回上一层

然后F5便可以显示c代码,有时候函数多的时候你连main函数都不知道在哪,re的题目通常都没加密字符串,所以我教你们另一种可行办法,若为图形界面

右键,text view,查看汇编代码,然后alt+T搜索可用的字符串,字符串你可以运行程序获得,也可以用工具获得,radare2也是一个神器,在此不多说,我也不怎么会用,搜索到后可以利用

那个箭头进行回溯,找到真正的主要函数,此题没字符串,就不多讲,这里直接F5查看c代码,

发觉一点有用的信息也没有,在此我已经不知道怎么做了,看了writeup后知道,这里传入的是flag的顺序,

也就是这一串字符里含有flag,打开ida的hex窗口,hex是16进制

在小窗口里有的选,发觉一串可疑字符,里面可疑独处含有flag,顺序明显被打乱了,还有一堆乱码混淆我们,然后通过手动整理可以得到传入的参数为 

list=[6,9,0,1,0xA,0,8,0,0xB,2,3,1,0xD,4,5,2,7,2,3,1,0xC],

有未知参数,在.bss段,未初始化的全局变量,这里网上的writeup解释得都很模糊,我从c语言的学习中得知,全局变量未初始化便为0,所以未知的参数全填充为0,(个人理解),然后在那串字符中,找规律得到flag为奇数位的字符,偶数位的字符只是拿来加密的(在下找规律从小学开始就不好,恕我愚钝,没看出),然后就是得到奇数位字符,奇数位的数据你按r可以转换成字符

 flag=['a','g','i','n','b','e','f','j','m','l','{','z','}','_']
偶数位字符

xor=[0x4c,0x59,0x29,0x42,0x0D,0x71,0x34,0xC6,0x8A,0x7F,0xAE,0x92,0xEC,0x57]

然后通过python脚本跑一下就出来了

  1 #!/usr/bin/env python
  2 # coding=utf-8
  3 list=[6,9,0,1,0xA,0,8,0,0xB,2,3,1,0xD,4,5,2,7,2,3,1,0xC]
  4 flag=['a','g','i','n','b','e','f','j','m','l','{','z','}','_']
  5 xor=[0x4c,0x59,0x29,0x42,0x0D,0x71,0x34,0xC6,0x8A,0x7F,0xAE,0x92,0xEC,0x57]
  6 result=""
  7 for i in range(21):
  8     result+=flag[list[i]]
  9 print result

题目下载:下载地址密码: j4fn

NoOneGroup
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA静态分析
一个孤独漫步者的遐想的博客
01-16 971
IDA静态分析导航条函数窗口IDA主界面IDA View三种反汇编视图文本视图图表视图路径视图Hex View十六进制窗口Struceures结构体窗口Enums枚举窗口Imports导入函数窗口Exports导出函数窗口Strings字符串窗口常用功能及快捷键空格键切换文本视图与图表视图ESC返回上一个操作地址G搜索X查看交叉应用导入jni.h分析jni库函数步骤一步骤二步骤三步骤四 导航条 蓝色 表示常规的指令函数 黑色 节与节之间的间隙 银白色 数据内容 粉色 表示外部导入符号 暗黄色 表示ida
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析使用IDA静态分析全过程
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本 工具可反编译成汇编。
Web逆向、软件逆向、安卓逆向、APP逆向,关于网络安全这些你必须懂_网络安全逆向
2401_84545579的博客
05-01 416
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈​。
IDA静态逆向分析工具详解一
深耕安全技术研究
02-22 2882
文章目录1.目录结构2.生成的四个文件扩展名3. 基本规则4.常见前缀 1.目录结构 cfg(配置文件) idc(包含IDA内置脚本语言IDC所需的核心文件) ids(目录包含一些符号文件【IDA语法中的IDS文件】,这些文件用于描述可被加载到IDA的二进制文件引用的共享库的内容,包括 函数所需参数的数量,信息和返回类型。) loaders(目录用于识别和解析PE或ELF等已知文件格式的IDA扩展) plugins(目录包含IDA所需的插件) procs(目录包含IDA版本所支持的处理器模块,处理器模块为
IDA静态动态逆向分析基础
哆啦安全
01-01 1640
1.JDB和IDA调试步骤2 (1).JDB调试步骤2 (2).IDA调试步骤2 (3).定位函数2 (4).开始调试2 2.动态调试Android so库函数的方法2 3.strace查看系统调用3 4.IDA静态动态分析的快捷键3 5.gdb调试4 (1).准备调试4 (2).修改权限5 (3).端口转发5 (4).ps命令查询PID5 (5).gdbserverattach调试进程5 (6).运行gdb.exe5 6.常见工具5 ...
IDA静态分析so文件(一)
傅恒的博客
05-12 5560
本文是记录自己学习IDA的一些总结与归纳,并将其体现成具体功能,便于复习与交流,有不对之处望大家包容并指出,欢迎大家留言收藏 本篇是IDA静态分析的第一篇, 本文讲解非常简单的静态分析so包 , 以便于熟悉IDA 环境 IDA pro 7.0 so包是32位 附加GitHub地址下载apk 如果出现其他问题可以参考IDA常见问题 开始 通过分析apk, 我们知道, java层调用了那些本地函数 , 实际运用也是如果 , 我们需要先分析java层代码 , 本文我们就是找到本地函数怎么对比字符串
常用逆向分析工具
weixin_43487927的博客
04-10 955
常用逆向分析工具 ApkTool: Apktool Install smali/basksmali: basksmali dex2jar:dex2jar 010 Editor 010editor
逆向工具使用介绍
qq_52842965的博客
11-01 974
逆向分析的时候有静态分析和动态分析两种,静态分析即为不运行程序,直接分析程序文件中的机器指令,去分析程序的底层运行逻辑和算法。而动态分析是将程序运行起来,在程序运行的同时,对程序进行下断点,查看内存等一系列操作去动态的查看程序运行中的一些数据的变化,去发现在静态调试时所遗漏或难以分析的问题, 在实际应用中通常是动态分析静态分析两者结合或单独运用,用最快的速度达到我们的目的 静态分析使用到的是ida,动态分析的时候用的是ollydbg,接下来就对这两种工具的功能及作用进行基本的介绍 一、ida ida
IDA pro逆向工具使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
最新发布
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析
IDA.rar_IDA静态脱壳_ida_脱壳_逆向
09-20
刚接触逆向的,可能不知道静态脱壳是怎么回事,KANXUE建议我把文章发出来,带动一下学习气氛。。于是文章就发出来了。。 我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能...
源码恢复反汇编静态分析工具IDA 4.8(2)
04-02
源码恢复反汇编静态分析工具IDA 4.8(2)
逆向分析三件套CE+OD+IDA
03-16
软件逆向分析工具包:CE用来定位数据,OD用来动态调试,IDA用来看代码 懂得自然懂
radare2 逆向分析软件
11-20
radare2不只是一个工具,而是一个框架,是众多逆向分析工具的组合。 radare2是主程序,可以用于通过一系列的命令对文件进行分析与调试,还支持多种语言如Python、Ruby的脚本调用。 rabin2二进制文件分析器,比如读取...
静态分析&&IDA
freedomDA的博客
03-30 1277
目标对象:2.crackme.exe 环境:windows 工具IDA Pro(32bit) (带有F5插件) 目标:找到flag 程序功能描述:输入少于24个字符会提示需要24个字符并使得重新输入;如果输入正确的24个字符,即flag,输出成功;不正确的24个字符,则输出失败。 IDA分析目标程序 点击main函数 F5反汇编成C语言代码 main函数: int __cdecl main(int argc, const char **argv, const char **envp) { FILE.
五、IDA静态分析常用
生命不息 折腾不止
09-02 2211
5.1交叉参考 通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下: .text:00401165 loc_401165: ;CODE XREF:sub_401120+B|j 这句CODE XREF:sub_401120+B|j 表示该调用地址是401120, “j”表示跳转(jump) “o”表示偏移值(offset) “p”表示子程序(procedure) 双击这里或按回车键可以跳...
【Tech-so】So文件静态分析Step by Step(一) --------入门,利用IDA pro查看代码
进击中的Park哥
11-24 4384
之前搞腾了两个月的Cocos-Lua , 主要是把java的代码导出去给于Lua项目组调用,过程那个叫苦呀,其实到最后才发现,那是一个很简单的原理。 因为之前提及过,Lua与Java的互调要使用中间层C/C++来衔接,所以过程中也接触了一版的C/C++的代码,也了解了一下其静态库与动态库的链接。 由于中间层主要是使用NDK来编写,编写是没有问题的,毕竟无论是Eclipse还是A
mbr二进制静态分析 ida
07-27
### 回答1: MBR(Master Boot Record)是计算机系统的启动程序,位于硬盘的第一个扇区,一般占用512字节。它包含了分区表以及启动操作系统所需的代码。IDA是一款反汇编软件,可以用于对二进制文件进行静态分析使用IDA对MBR进行二进制静态分析,可以深入了解MBR的功能和执行流程。 首先,在IDA中打开MBR的二进制文件,IDA会自动识别并显示程序的指令流。可以通过分析指令之间的跳转、数据处理等关系,还原出MBR的代码逻辑。 其次,IDA可以对二进制文件进行反汇编,将机器指令转换成可读性更高的汇编指令,方便程序员理解和分析。通过IDA的反汇编功能,可以逐步追踪程序的执行路径,查看各个函数的调用关系,识别出程序的功能模块。 此外,IDA还提供了图形化界面,用于展示程序的控制流图、函数调用图等可视化信息,方便用户理解程序的结构和逻辑。 最后,通过IDA静态分析功能,可以查找程序中的漏洞和恶意代码。例如,可以搜索特定的字符串、调用系统函数的位置,以便检测程序是否含有病毒、后门等恶意代码。 总的来说,利用IDA进行MBR二进制静态分析,可以帮助研究人员深入了解MBR的工作原理和代码逻辑,识别恶意代码,加强对计算机系统的安全防护。 ### 回答2: IDA是一款十分常用的二进制静态分析工具,它主要用于对二进制文件进行逆向工程和安全分析。二进制文件通常是以机器语言编写的,分析这样的文件是十分困难的。然而,IDA通过对二进制文件进行分析,可以还原出源代码的一些结构和逻辑。 首先,IDA静态分析功能使得我们可以在不运行程序的情况下查看程序的执行流程、函数调用、内存分配等。我们可以分析程序的汇编指令,了解每条指令的作用和执行过程,进而还原出程序的整体逻辑。 其次,IDA提供了反汇编功能,可以将机器码反汇编成汇编代码,这样我们就可以看到程序从二进制代码转换为汇编代码的过程。这对于探查程序中隐藏的功能和漏洞非常有用。 此外,IDA还提供了交互式调试功能,可以在不运行程序的情况下直接查看和修改内存中的值,对程序的执行进行调试,并寻找和解决问题。 总之,通过IDA的二进制静态分析,我们可以更好地理解程序的功能和结构,发现潜在的安全漏洞,从而提高软件的安全性和性能。这使得IDA成为许多安全研究人员和软件工程师的重要工具之一。 ### 回答3: MBR(Master Boot Record,主引导记录)是磁盘的第一个扇区,是启动操作系统的关键组成部分。IDA(Interactive Disassembler,交互式反汇编器)是一款二进制静态分析工具,用于逆向工程和恶意软件分析使用IDA进行MBR的二进制静态分析时,首先需要将MBR的二进制文件导入到IDA中。IDA通过解析二进制代码,将其转换为可读的汇编语言代码,以便分析和理解程序的逻辑。 对于MBR的二进制静态分析,可以使用IDA进行以下方面的研究: 1. 代码调用关系分析IDA可以显示函数之间的调用关系,帮助我们理清代码的逻辑流程。 2. 变量和数据结构分析IDA可以识别并显示代码中使用的变量和数据结构,帮助我们了解数据的存储和使用方式,进而理解程序的功能。 3. 漏洞分析:通过IDA的漏洞分析功能,我们可以查找代码中存在的安全漏洞或异常处理不当的问题,从而提供安全修复建议。 4. 反汇编代码注释:IDA可以让我们添加自己的注释,对代码进行解释和标记,方便后续的分析和理解。 综上所述,IDA作为一款强大的二进制静态分析工具,可以帮助我们深入理解MBR的功能和逻辑,发现其中的潜在问题,从而提供安全修复和改进的建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值