IDA静态动态逆向分析基础

最新推荐文章于 2024-04-19 10:58:31 发布
最新推荐文章于 2024-04-19 10:58:31 发布
阅读量1.6k 收藏 9
点赞数 3
分类专栏: 移动安全 文章标签: 反编译 手机安全 信息安全 数据安全 app安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011426115/article/details/112074008
版权

1.JDB和IDA调试步骤2

  (1).JDB调试步骤2

  (2).IDA调试步骤2

  (3).定位函数2

  (4).开始调试2

2.动态调试Android so库函数的方法2

3.strace查看系统调用3

4.IDA静态动态分析的快捷键3

5.gdb调试4

  (1).准备调试4

  (2).修改权限5

  (3).端口转发5

  (4).ps命令查询PID5

  (5).gdbserver attach调试进程5

  (6).运行gdb.exe5

6.常见工具5

  (1).命令工具5

7.OAT/DEX/ELF的文件格式

8.在线加解密5

  (1).二维码解码器5

  (2).在线JSON校验格式化工具5

  (3).在线解密6

  

1.JDB和IDA调试步骤

(1).JDB调试步骤

①adb shell am start -D -n {pkgname}/{Activity}

②ida android_server放到手机,以root身份运行,PC端idapro远程连接、 attach、下断点

③adb forward tcp:8700 jdwp:{pid}

④jdb -connect “com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700”

 

(2).IDA调试步骤

①adb shell am start -D -n {pkgname}/{Activity}

②adb forward tcp:23946 tcp:23946

③ida android_server放到手机,以root身份运行,PC端idapro远程连接、 attach、下断点

④打开DDMS,查看端口

⑤jdb -connect “com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700”

 

(3).定位函数

①使用快捷键Ctrl+S打开segment窗口,选择so文件,这里可以使用Ctrl+F进行搜索;同时这里需要记下so文件的起始地址(A8924000)用另一个IDA打开so文件,找到对应函数的偏移位置,在上面的图可以看到偏移为(00000E9C)

 

绝对地址=基址+偏移地址=A8924000+00000E9C=A8924E9C

 

②按下快捷键G,输入A8924E9C即可跳转到正确的函数,然后使用F2或者点击前面的小圆点下一个断点  

图片

图片

 

(4).开始调试

①按F9或点击绿色三角形按钮运行程序,触发断点,接着按F7/F8进行调试

 

2.动态调试Android so库函数的方法

图片

./android_server p2345

p端口号

 

adb shell ps | grep 包名

 

netstat -ano | findstr "8900"

 

tasklist | findstr "1220"

 

可以通过命令强制杀死pid为2816的进程

taskkill /f /pid 1220

 

adb forward tcp:23946 tcp:23946

 

adb forward tcp:8700 jdwp:25631

 

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

 

3.strace查看系统调用

strace -f -p PID -o file.txt

 

4.IDA静态动态分析的快捷键

(1).F2下断点

(2).F7,f8单步步入

(3).N重名

(4).G跳到地址和函数名

(5).U取消把函数汇编变成机器码

(6).C就是把机器码变成汇编

(7).F5--->刷新

(8).P分析函数,把机器码那些东西翻译成函

(9).Ctrl+S看见系统所有的模块

(10).Ctrl+F搜索

(11).单步调试注意右上角,寄存器变蓝色表示被改了

(12).otions->number of opcode bytes可以查看机器码,填入4一行看4个机器码

(13).在hex view-1按F2可以修改机器码,再次按F2确定修改

(14).Alt+G看是THUMB还是ARM指令(寄存器ARM与THUMB转换)

(15).在函数名上按X可以看见上层调用

(16).在F5伪C/C++代码的情况下,注释是/,汇编情况下注释是;

(17).F4移动到光标处

(18).在寄存器窗口按E可以修改寄存器的值

(19).在内存窗口F2可以修改内存的值

(20).搜索特征字符串,具体操作为

①快捷键Ctrl+S,打开搜索类型选择对话框-->双击Strings,跳到字符串段-->菜单项“Search-->Text”

②快捷键Alt+T,打开文本搜索对话框,在String文本框中输入要搜索的字符串点击OK即可

(21).Tab查看函数

(22).Ctrl+1,Spance

(23).Alt+Q

(24).Alt+S

(25).G-转到一个Jump Address

(26).Create function--->P

(27).Data--->D

(28).X--->追踪某函数

(29).C--->转成代码--->N-重命名函数,多看汇编,少看伪代码

(30).H--->16进制转换

(31).A--->生成一个字符串

(32).U--->转成原数据

(33).*--->重新定义数组长度

 

5.gdb调试

(1).准备调试

android-ndk-r10e\prebuilt\android-arm\gdbserver

android-ndk-r10e\prebuilt\android-arm64\gdbserver

 

手机或模拟机已经root

adb remount

adb push gdbserver /system/bin

 

android-ndk-r10e\toolchains\arm-linux-androideabi-4.9\prebuilt\windows-x86_64\bin\arm-linux-androideabi-gdb.exe

 

android-ndk-r10e\toolchains\aarch64-linux-android-4.9\prebuilt\windows-x86_64\bin\aarch64-linux-android-gdb.exe

 

arm-linux-androideabi-gdb.exe修改为gdb.exe

 

(2).修改权限

adb shell chmod 777 /system/bin/gdbserver

 

(3).端口转发

adb forward tcp:23946 tcp:23946

 

(4).ps命令查询PID

adb shell ps | grep 包名

 

(5).gdbserver attach调试进程

adb shell gdbserver :23946 –attach [PID]

 

(6).运行gdb.exe

显示汇编代码

set disassemble-next on

 

打开单步调试

set step-mode on

 

在gdb界面输入如下命令,连接上gdbserver

target remote 127.0.0.1:23946

 

6.常见工具

  (1).命令工具

tmux: 可以关闭窗口将程序放在后台运行

jnettop: 监测网络流量,得到通讯IP、端口、URL、速率信息

netstat -tunlp:端口对应进程号、监听、收发包端口

htop: top 的增强版,当前系统负载、前台活跃进程、线程和占用

apt install tmux jnettop htop

ps -e |grep -i termux

 

入门Android逆向

https://mp.weixin.qq.com/s/K1tvKOzDRwiO8uDON4u_MA

 

7.OAT/DEX/ELF的文件格式

图片

图片

图片

图片

图片

图片

图片

图片

 

8.在线加解密

(1).二维码解码器

  https://cli.im/deqr/

 

(2).在线JSON校验格式化工具    

  http://www.bejson.com/

  http://www.jsons.cn/

 

(3).在线解密

  https://www.ssleye.com/

  http://www.ttmd5.com/rang.php

  https://cmd5.com/

  https://jwt.io/

  https://the-x.cn/cryptography/Aes.aspx

  http://tool.chacuo.net/cryptdes

 

关注公众号,获取更多最新文章

图片

哆啦安全
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IDA使用技巧随记
幸福之家的博客
03-21 916
计算PE文件偏移地址
【Android 逆向】Android 逆向基本概念 ( 定位内存中的修改点 | 基址寻址法 | 搜索定位法 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-07 1763
一、定位内存中的修改点、 1、基址寻址法、 2、搜索定位法、
IDA使用教程
2302_76681209的博客
04-19 337
上面是汇编窗口,栈变化信息和汇编对应的二进制码与上边的窗口设置有关(number of opcode bytes)。数据距离bp指针的位置有利于我们判断不同数据的分布情况,伪代码并非完全可信,有时候要去分析一下汇编代码。DT 定义一个10字节的变量(此处关联到汇编知识,详情自查)DD 定义双字变量,即32位(4字节)变量。DQ 定义长字变量,即64位(8字节)变量。DB 定义字节变量,即8位(1字节)变量。DW 定义字变量,即16位(2字节)变量。就到这吧,后面配置啥的没搞。
IDA-逆向分析-反汇编导航-双击导航-跳转地址-调用约定-局部变量-栈视图-搜索-工具教程
插件开发
10-25 2243
IDA逆向分析的方法
traceme2011的专栏
03-03 1万+
一、PE文件的分析流程。 1. 对于DLL文件,先查看它的导出表,确定一些功能函数。 2. 查看导出表,看调用了那些类型的API。比如可能有如下几类 (1)      文件操作、创建、写、读(2)      注册表操作,读、写(3)      提权相关函数(Privage)(4)      进线程函数 然后根据这写不同类型的导出函数,用X快捷键查看有哪些地方引用了,可以分析出一些sub_0xxxx...
安卓逆向之ida的那些坑2脱坑
weixin_42545308的博客
02-21 1116
先来说下遇到的问题:调试某个app的so时,ida动态调试使用jdb附加,断点断在了linker处,然后开始加载so文件,目标so还没加载出来,app闪退,动态调试终止。 之前一直以为是什么反调试,我还一直百思不得其解,因为我要逆向的这个app是没加壳的,java层反调试也没hook到,说明程序根本没运行到反调试这一步。毕竟反调试肯定要写在代码里,现在初始化都没完成就崩了。查遍各种资料都没有见到在linker加载so的时候会崩溃这种情况。 后来终于在看到一篇文章时大受启发,了解到了armeabi-v7a和a
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析,使用IDA静态分析全过程
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
最新发布
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
IDA.rar_IDA静态脱壳_ida_脱壳_逆向
09-20
刚接触逆向的,可能不知道静态脱壳是怎么回事,KANXUE建议我把文章发出来,带动一下学习气氛。。于是文章就发出来了。。 我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能...
Android IDA 动态调试最完善攻略,跨过各种坑
热门推荐
AndroidDeveloper的专栏
08-27 2万+
前提条件和运行环境一定要写清楚,不然会有很多坑,坑死人。 (1)IDA 是最新的7.0版本 (2) JDB 使用Java安装目录下的 (3)系统是win10 使用命令窗口时有很大的差别 (4)手机是4.4 以下系统 1.手机要有Root权限 2.复制IDA 安装目录下dbgsrv 文件里面的android_server文件到 手机内存储的 /data/local/tmp 目录...
总结IDA调试app so库的三种方法
zzwlpx的博客
06-01 9910
        本文总结网上一些做法,结合自己的经验,提供不反编、修改、重新编译apk而调试app的方法。一、ida动态启动调试(1)打开ida,直接将apk拖到ida中,选择class.dex,如下图:注意:也可以将apk解压之后,直接将class.dex拖拽至ida。(2)双击打开class.dex后,设置debug选项(3)点击set specific option,设定包名及入口方法注意:...
第三章——静态分析技术-IDA的简单操作
weixin_30340775的博客
11-22 227
注释:按“:”输入的注释只会在该处出现,按“;”的注释会在所有的交叉参考处出现 字符串搜索View->Open Subviews->String,此处字符串可与交叉引用结合使用 按ESC退后,Ctrl+Enter前进 重命名:N 标签的使用:菜单项Jump->Mark...
IDA详细使用教程,适合逆向新手的实验报告
xnxqwzy的博客
02-20 2276
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。一、软件介绍IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA
0day安全学习笔记-第一章
TedLau的博客
04-09 525
0day安全学习笔记第一章
【逆向工程】逆向植物大战僵尸 以及关于基址和多级指针的追根究底
程序员阿飘 的博客
01-06 698
本文已参与「新人创作礼」活动,一起开启掘金创作之路。看了几个视频都发现就只会让你一级一级的找偏移而不是告诉你为什么CE不能直接搜索到一个数据的基址,为什么会有多级偏移,为什么通过多级偏移就能找到一个数据所以这里就主要探究下原理因为X64DBG内存断点是真的拉跨,这里还里还是OD了 @
逆向-IDA工具的基本使用
一只青木呀
07-17 6766
IDA工具的基本使用IDA工具的使用1、文件的打开与关闭2、窗口介绍:图形 文本 其他窗口2.1、图形界面:2.2、文本界面:2.3、反汇编窗口2.4、 十六进制窗口2.5、 文件使用的模块(函数)2.6、文件导出的模块(函数)2.7、结构体(IDA识别出来的)2.8、枚举3、显示硬编码(ACDU)3.1、ACDU3.1.1、A3.1.2、C3.1.3、D3.1.4、U4、跳转指令 G5、搜索指令(ALT+T)6、修改名称(N)7、创建结构体 修改全局变量 修改局部变量7.1、创建结构体7.2、修
逆向分析工具——IDA初学笔记
m0_63606191的博客
01-22 3128
是 是
mbr二进制静态分析 ida
07-27
### 回答1: MBR(Master Boot Record)是计算机系统的启动程序,位于硬盘的第一个扇区,一般占用512字节。它包含了分区表以及启动操作系统所需的代码。IDA是一款反汇编软件,可以用于对二进制文件进行静态分析。 使用IDA对MBR进行二进制静态分析,可以深入了解MBR的功能和执行流程。 首先,在IDA中打开MBR的二进制文件,IDA会自动识别并显示程序的指令流。可以通过分析指令之间的跳转、数据处理等关系,还原出MBR的代码逻辑。 其次,IDA可以对二进制文件进行反汇编,将机器指令转换成可读性更高的汇编指令,方便程序员理解和分析。通过IDA的反汇编功能,可以逐步追踪程序的执行路径,查看各个函数的调用关系,识别出程序的功能模块。 此外,IDA还提供了图形化界面,用于展示程序的控制流图、函数调用图等可视化信息,方便用户理解程序的结构和逻辑。 最后,通过IDA静态分析功能,可以查找程序中的漏洞和恶意代码。例如,可以搜索特定的字符串、调用系统函数的位置,以便检测程序是否含有病毒、后门等恶意代码。 总的来说,利用IDA进行MBR二进制静态分析,可以帮助研究人员深入了解MBR的工作原理和代码逻辑,识别恶意代码,加强对计算机系统的安全防护。 ### 回答2: IDA是一款十分常用的二进制静态分析工具,它主要用于对二进制文件进行逆向工程和安全分析。二进制文件通常是以机器语言编写的,分析这样的文件是十分困难的。然而,IDA通过对二进制文件进行分析,可以还原出源代码的一些结构和逻辑。 首先,IDA静态分析功能使得我们可以在不运行程序的情况下查看程序的执行流程、函数调用、内存分配等。我们可以分析程序的汇编指令,了解每条指令的作用和执行过程,进而还原出程序的整体逻辑。 其次,IDA提供了反汇编功能,可以将机器码反汇编成汇编代码,这样我们就可以看到程序从二进制代码转换为汇编代码的过程。这对于探查程序中隐藏的功能和漏洞非常有用。 此外,IDA还提供了交互式调试功能,可以在不运行程序的情况下直接查看和修改内存中的值,对程序的执行进行调试,并寻找和解决问题。 总之,通过IDA的二进制静态分析,我们可以更好地理解程序的功能和结构,发现潜在的安全漏洞,从而提高软件的安全性和性能。这使得IDA成为许多安全研究人员和软件工程师的重要工具之一。 ### 回答3: MBR(Master Boot Record,主引导记录)是磁盘的第一个扇区,是启动操作系统的关键组成部分。IDA(Interactive Disassembler,交互式反汇编器)是一款二进制静态分析工具,用于逆向工程和恶意软件分析。 使用IDA进行MBR的二进制静态分析时,首先需要将MBR的二进制文件导入到IDA中。IDA通过解析二进制代码,将其转换为可读的汇编语言代码,以便分析和理解程序的逻辑。 对于MBR的二进制静态分析,可以使用IDA进行以下方面的研究: 1. 代码调用关系分析:IDA可以显示函数之间的调用关系,帮助我们理清代码的逻辑流程。 2. 变量和数据结构分析:IDA可以识别并显示代码中使用的变量和数据结构,帮助我们了解数据的存储和使用方式,进而理解程序的功能。 3. 漏洞分析:通过IDA的漏洞分析功能,我们可以查找代码中存在的安全漏洞或异常处理不当的问题,从而提供安全修复建议。 4. 反汇编代码注释:IDA可以让我们添加自己的注释,对代码进行解释和标记,方便后续的分析和理解。 综上所述,IDA作为一款强大的二进制静态分析工具,可以帮助我们深入理解MBR的功能和逻辑,发现其中的潜在问题,从而提供安全修复和改进的建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哆啦安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值