IDA pro的使用经验

已于 2024-06-23 17:57:06 修改
阅读量984 收藏
点赞数
分类专栏: 安全研究 - 恶意软件 文章标签: 安全威胁分析
于 2020-08-05 14:37:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011698800/article/details/107814454
版权

20200805 -

引言

最近使用IDA分析了一个去头的ELF样本(datacon比赛),它是一个僵尸网络的样本。本身对自己的逆向能力也不是很强,基本上就是捋清楚了程序的逻辑,对照着mirai的源码,得到了一些理解。不过这中间也遇见了很多问题。

问题

1. 反汇编/编译的源码可信吗

这个问题发生在,我将反编译出来的函数源码直接复制到了C语言的源码中,然后进行了编译,但是始终这个结果就是不对。那么这也就是说,反编译出来的源码的功能并不一定是正确的?虽然运行没有问题,但是却出不来相应的结果。这里很纳闷,等后面结果出来了再说吧。
(我个人觉得,可能大致上语义是争取的,但是如果你将这个源码赋值出去,实际上这部分的变量分配也好,内存也好,很多已经不符合原来的语义了,所以就感觉是不对了的。)
(20200806 增加)
我今天看到的一个例子,通过读取伪代码的语义能够看出来他是对的,但是实际上可能你直接复制这段代码就不一定对;我来具体说明一下这个代码。
在代码开头部分的变量声明中,多出了很多变量,但是他们在堆栈上的内存分布是连续的;然后他的代呢,本意是对这块内存进行赋值,但是他所生成的伪代码并不是使用了某个变量,而是采用了这个变量前面的变量作为指针,然后进行复制。我觉得,这里就说明这个内存的部分还是很重要的。

2. static修饰的函数

static修饰的C语言函数,并不需要call的执行,他在反汇编的源码中,是直接就生成在了调用它的函数代码块中。

3. 反编译结果中使用的宏

当前见到的宏,包括_BYTE、_DWORD等,这部分的内容可以在文章[1]中找到。

4. IDA脚本

在当时搜索相关的内容的时候,发现他们直接提供了IDA脚本来辅助解密,不过我最后是单独写了python脚本来进行解密。我觉得,后续的过程中,也应该学习一些这个自动化的方式。这里记录两个网站,一个介绍IDA脚本编写的[2], 另一个是介绍解密脚本的[3],我直接把脚本放下面了。

sea = ScreenEA()
max_size = 0xFF
for i in range(0x00, max_size):
   b = Byte(sea+i)
   decoded_byte = (b ^ (0xFEBCEADE >> 8 * (i % 4))) & 0xFF;
   PatchByte(sea+i,decoded_byte)
   if b == 0x00 or decoded_byte == 0x00:
       break

这个密钥就是原版的mirai的密钥。但是,目前我还不清楚这个脚本怎么使用。

5. sys_socket函数的使用

ELF格式的样本在逆向时,很多socket函数在进入后,都使用了同一个中断函数;这里不同的函数是通过传递进去的参数来进行区分的。关于具体的中断号可以参考文章[4]。

参考文章

[1]IDA逆向常用宏定义
[2]IDAPython脚本编写指南(二)
[3]Torii botnet - Not another Mirai variant
[4]分析linux中套接字的实现-------创建

V丶Chao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新手记录ida调试安卓so之修改寄存器值
weixin_36446688的博客
10-28 384
通过这些步骤,您可以使用IDA Pro进行Android SO文件的调试,并成功修改寄存器的值。在本文中,我们将介绍如何使用IDA Pro 7.7来调试Android SO(共享对象)文件,并演示如何修改寄存器的值。同时,观察通用寄存器中的 X9 值,这是我们将要修改的寄存器。设置断点:在IDA Pro中,找到需要调试的位置,并在该位置打上断点。修改寄存器值:现在,我们将修改寄存器的值,将1改为0。继续执行:继续按 F8 键,因为我们的程序是 a++,所以您会看到 a 的值已经变为1。
逆向中静态分析工具——IDA初学者笔记
weixin_30532987的博客
10-17 6384
//******************************************************************************//IDA初学者笔记 //******************************************************************************//作者:Cai//日期:2011-10-18//***...
IDA使用学习_ida pro支持哪些数据的显示格式
最新发布
2401_84253089的博客
04-28 690
2、PE文件的全称是Portable Executable,意为可移植的执行体是,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)其中IDA View-A表示的就是某个函数的图标架构,可以查看程序的逻辑树形图,把程序的结构更人性化地显示出来,方便我们的分析。第三部分对应的就是整体程序或者某个函数的图标概述形式,可以大体把握功能和结构的走向。对整体的脱壳逆向有很大的帮助。具体表示形式,上文中有截图可参考。
IDA Pro使用技巧_ida的数据窗口怎么打开(1),网络安全项目开发如何设计整体架构
m0_61418142的博客
04-07 1170
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!④等保简介、等保规定、流程和规范。
IDA Pro使用技巧
工作学习笔记
11-28 998
Python使用记录
安装 使用 ida pro linux
sevendemage的博客
03-28 1253
下载解压文件,然后linux下直接双击安装 ida7.5demo*******.run这个安装包然后查找安装目录,一般桌面图标都有对应执行程序的路径将crack包中的内容覆盖到这个安装目录中然后双击执行就可以正常运行,new 打开一个执行程序或者动态库查看内部逻辑注意将一些子窗口打开查看内容更方便。
IDApro权威指南》个人学习笔记
10-11
IDApro权威指南》个人学习笔记是关于IDApro反汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款功能强大的反汇编工具,它可以对...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
内容概要:(ppt,源码,程序)密码是idapro 1.逆向工程介绍,IDA页面简单介绍,开发和逆向的对比 2.如何定位MAIN函数,修改逻辑跳转指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密...
idapro.docset
07-05
根据ida pro帮助文件制作的docset文件,dash等可以使用,根据ida pro帮助文件制作的docset文件,dash等可以使用
IDA Pro 6.6 test程序
03-10
IDA Pro 6.6 test程序,详见CSDN博客,牧码人小鹏,IDA Pro 6.6 反汇编程序实例
3.1 IDA Pro编写IDC脚本入门
CSDN
11-11 5204
IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言,旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构,并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性,许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程,以提高效率和准确性。
IDA PRO 教程-IDA调试器的使用教程.pdf
02-14
IDA PRO 教程-IDA调试器的使用教程.pdf
记那些我做逆向题常用到的idapy脚本
Air_cat的博客
08-21 521
解密重覆盖: sea = ScreenEA() end = str = "123"# d = 0 for i in range(sea,end): PatchByte(i,(Byte(i)^str[d%3])) d += 1 输出十六进制数组: from __future__ import print_function#支持py2使用py3的函数 from __future__ import print_function#支持py2使用py3的函数 sea = ScreenEA() fo
IDAPython基础教程2
Yale的博客
01-17 1251
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro载入,以此文件为样例,学习IDAPython的用法。 IDAPython有非常多获取数据的方式,最常用的是通过idc.GetFunctionAttr(ea,FUNCATTR_START)和idc.GetFunctionAttr(ea,FUNCATTR_END)...
利用IDA Pro反汇编程序
weixin_30667301的博客
02-09 1209
IDA Pro是一款强大的反汇编软件,特有的IDA视图和交叉引用,可以方便理解程序逻辑和快速定位代码片断,以方便修改IDA视图 示例程序 下面会通过修改示例程序的输出字符串,来讲解如何使用IDA Pro。 #include main() { int n; scanf ("%d",&n); if (n > 0) ...
小程序-报错 xxx is not defined (已解决)
weixin_30851409的博客
10-30 1万+
小程序-报错 xxx is not defined (已解决) 问题情境: 这样一段代码,微信的小程序报错 is not defined 我 wxml 想这样调用 //wxml 代码 <view class='ltext'>{{_typeTitle}}</view> 我出错的情况是这样的 //程序 js 代码 Page({ data: { titleArray: [...
逆向过程中全局变量和局部变量的识别
LDWJ2016的博客
10-11 2239
全局变量的内存空间在程序编译完成后就是确定不变的,而且全局变量是保存在文件中,既是程序没有运行它也是存在且可以修改的 。 所以当在代码中看到读写的是固定不变的内存地址时,这个地址就是全局变量。 而局部变量的内存空间是在函数被调用时在栈中动态分配的,所以看到读写的内存地址是EBP减去一个常数值时 ,则所访问的一定是 局部变量。
IDA小技巧之——F5不能出现伪代码
热门推荐
NoOneGroup
10-04 4万+
博客已经转移 https://noone-hub.github.io/ 打开ida,打开一个文件,我用的是安恒月赛的一个文件,出现 postive sp value has been found ,这个问题其实干扰我很久了,然后网上的很多说平衡堆栈,平衡平衡,发觉一个很长的函数,用手去计算堆栈吗,显然不是的,网上又没解释清楚,然后今天我搞懂了,就分享一下,进入正文: 首先打开optio...
iDA Pro使用教程
05-04
iDA Pro 是一款非常强大的反汇编工具,它可以帮助用户对二进制程序进行反汇编、分析修改。...iDA Pro 是一款非常强大的工具,可以帮助你分析修改二进制程序,但需要一定的反汇编和程序分析经验
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值