IDA decompilation failure - positive sp value has been found

最新推荐文章于 2024-04-20 15:34:48 发布
最新推荐文章于 2024-04-20 15:34:48 发布
阅读量2.6k 收藏 2
点赞数 6
分类专栏: 随笔 文章标签: IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/83588244
版权

最近在使用IDA分析恶意程序时,该程序使用了大量对抗静态分析的方法,使得我在分析时总是使用OD看汇编,但它里面由于call太多,跟了很多以后我都不知道这个call返回到哪里了,于是觉得还是想办法看能否F5下,转成伪代码,看着速度会快很多,于是就有了这篇文章,直接进入主题。

拿这一段代码举例说明如何处理,首先这里红色的0FF98A7B1就是对抗静态分析的一种方法,我们需要先U一下转换为未定义的数据,然后就变成下图这样

因为我在OD中已经调试过了,所以我知道在58的位置按下C,转换成代码就比较正常,每个人根据自己的情况在特殊的位置按下C

从上图中我们也可以看出,E9 28 14都是垃圾指令,用来干扰静态分析

经过手动调整以后变成了下图这样:

最低0.47元/天 解锁文章
ATree、063
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
18/09/24-2-IDA反编译失败positive sp value has been found及sp-analysis failed问题的解决
qq_39539312的博客
09-25 1570
0x00 程序链接:https://pan.baidu.com/s/1p6d4ZiBnM3bI-EnGWThtkQ 密码:21w4 0x01 问题:在使用IDA对程序进行费分析发现sp-analysis failed,以及f5反编译时出现warning。 0x02 原因:堆栈不平衡。 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际...
IDA 逆向代码 --- 反编译失败 Decomplication failure
生命不息 折腾不止
11-29 2309
场景:IDA经常会解析错误,Decomplication failure,我们要学会如何处理这些错误,才能得到伪代码。 可能原因1:函数约定的错误; 可能原因2:函数参数识别错误; 解决方法:分析函数的参数个数和调用约定,Y重新定义函数; 例如: 上面有提示出错的地址 ,G过去看 是在调用函数,看看他是调用什么函数,函数有啥问题。 可能原因3:函数体内字节码未识别; 解决...
IDA-F5查看伪代码报错:Decompilation failure: 40077D: cloud: no response
最新发布
book_stand的博客
04-20 487
今天在进行逆向的时候发现,F5查看伪代码给我报错了,之前都没出现过这种情况。右键在记事本中编辑,找到MAX_FUNCSIZE,将64改为1024。通常IDA反编译函数时会有大小限制,超过这个大小就会反编译失败。既然是响应出问题的话,先找到IDA的安装目录,再找到里面的。保存后再重新打开IDA,问题就解决了。cfg文件夹下的hexray.cfg。翻译后是:cloud:没有响应。
IDA出现不能进行F5,”F1EC:positive sp value has been found!!!!!“的解决方法
雪一梦的博客
12-24 6653
IDA出现不能进行F5,”F1EC:positive sp value has been found!!!!!“的解决方法 一、在用IDA分析So文件,F5的时候经常会出现以上这种情况,这个时候可能是以下导致的: 1.栈sp不平衡: 比如360加固中的libjiagu.so中的虚拟机解释函数。 首先打开栈指针选项,在options--------->General--------...
IDA反编译失败:positive sp value has been found
weixin_30784501的博客
12-30 775
前言:   很不争气的,在做第一天MBE课后练习lab1A时又卡住了,不想纯撸汇编,把程序扔到IDA中F5,发现不能反编译。经过搜索资料以及向学长请教,终于解决了这个问题,前来记录一下。由于知识有限,文中内容难免有错,请过往的大神们指教。   正文:   问题如下:      这种问题出现的原因如下:   一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用pus...
ida报错:positive sp value has been found
for_mat_的博客
10-25 973
wmain是可以进去的,但是无法f5反编译 jmp到出错的地址处: 这里堆栈出现了问题 在427485的位置按下alt+k,对sp进行编辑 然后继续在427487的位置按下alt+k,编辑sp 此时就可以对wmain进行反汇编了 ...
解决IDA因为(Decompilation failure: positive sp value has been found)堆栈不平衡导致不可以F5的问题
iqiqiya的博客
08-22 9461
报错信息: 解决方法: 0x01:Options -->General--->把Stack pointer勾选上 0x02:鼠标点击上面的call   快捷键Alt+K   输入相应的值   使得下面的retn前面为0  就可以F5了   [推荐]IDA sp-analysis failed 不能F5的 解决方案之(二)-『软件逆向』-看雪安全论坛https:...
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
IDA-Pro-7.7-全插件版
07-09
IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA ...
769482 从零开始学IDA逆向1-31章
12-21
769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章
IDA Decompilation failure:too big function
爱党人士
10-12 2408
这个调一下配备文件就行了。 C:\Program Files\IDA 7.0\cfg\hexrays.cfg MAX_FUNCSIZE = 64 64改成大一点的就行。 网上说改成1024
解决IDA出现Decompilation failure: call analysis failed不可以F5的问题
热门推荐
iqiqiya的博客
09-28 1万+
报错信息:对main函数进行F5时报错 找到对应的这一行 双击_isoc99_scanf这个函数    进去之后直接按F5   然后再退出去到main函数   再F5  发现成功反编译成伪码 不会再报错了 出现这个错误的原因就是我们的F5插件不能正确识别这个call的参数...
浅谈安卓逆向月报(1)- 抖音 - ida - native层F5伪代码堆栈平衡修复
wq57885的博客
11-23 2851
这章主要聊聊如何修复可以F5伪代码 以最新的抖音840的so为例,这边仅仅说下如何修复F5,解决“positive sp value has been found”错误提示。 后续的我也没深入跟进,写这篇文章仅为方便自己日后查阅。 首先inline_hook确定RegisterNatives函数地址 leviathan地址为0x4e1c1 IDA 按F5会提示“4E24E p...
IDA为什么产生 sp-analysis failed 错误?
Jingle的专栏
03-21 9686
问:用IDA静态分析,函数结尾出现 endp ; sp-analysis failed 用F5调不出伪代码,不知道是什么原因,请问有什么解决办法没有? 答:endp ; sp-analysis failed. 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就
关于IDA反编译Decompilation failure: 8048801: call analysis failed的解决方法
、moddemod
06-17 2595
他这个问题就是0x8048801这个地址的地方分析有问题,所以跟踪(快捷键字母g)过去看一下 跟进去按F5然后回来就可以了 再回到你要反编译的函数,就正常了!
ida中如何将汇编语言转为c,[求助]如何成功的用IDA转换一小段汇编成C++
weixin_29692851的博客
05-24 5193
昨天看了一篇帖子《使用ida对任意一段机器码进行反汇编》我想用记事本写了一段C++代码,然后用winhex打开,选取所有保存为exe文件;C++代码很简单,如下:#includeusingnamespacestd;voidmain(){inta,b;intc=a+b;cout<}对winhex的操作是正确的,如下表:然后用IDA打开新生成的1.exe(不知道是不是要特殊的编译器比...
170803 逆向-RouterScan(7)
whklhhhh的博客
08-03 613
1625-5 王子昂 总结《2017年8月3日》 【连续第305天总结】 A.RouterScan逆向 B. 查看了一下detect200模块,在OD中跟踪发现是在之前得到的http数据中与特征进行对比,从而确定型号 中间出了点岔子,修改了之前以为连接的函数名connect_port,基本确定应该是查找字符串的函数,结果IDA就开始在F5反编译时报positive sp value has
ida 逆向代码 --- 双精度浮点型jumpout
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现方式通常是通过比较双精度浮点寄存器的值,并根据比较结果跳转到指定的地址。具体实现步骤如下: 1. 首先,使用IDA打开二进制程序,并进行逆向分析,找到双精度浮点型jumpout指令的位置。 2. 在跳转指令之前,通常会使用一条或多条指令将双精度浮点数的值加载到浮点寄存器中。 3. 找到进行比较的指令,该指令通常会使用浮点寄存器中的值与另一个双精度浮点数进行比较。比较操作可以是大于、小于、等于等。 4. 根据比较结果,使用条件跳转指令进行跳转。如果比较结果符合条件,则跳转到目标地址;否则,继续执行下一条指令。 5. 如果跳转成功,程序将会执行目标地址处的指令,否则继续执行下一条指令。 通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执行条件,来分析和修改程序的行为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值