IDA静态编译之sub

最新推荐文章于 2021-05-18 12:53:19 发布
最新推荐文章于 2021-05-18 12:53:19 发布
阅读量777 收藏
点赞数
原文链接:http://www.cnblogs.com/hshy/p/11193379.html
版权

int __thiscall sub_10009800(const wchar_t *this, int a2, int a3, HKEY hKey)
{

}

说明:__thiscall  dll内子函数

const wchar_t *this  类的对象函数

 

 

【转】

  • 在使用IDA使用之前,一定要分析出对象是用什么语言来编写的,然后可以用IDA的签名,将大大增加可读性
  • 利用IDA找到导入表,然后通过一些比较明显的API入手,加上交叉引用ctrl+x---->到达上一层,找到调用这个API的函数,然后针对这个函数,再次应用交叉引用,找到调用这个函数的母函数--->最终会找到OEP附近
  • 在导入表里面,可以按CTRL+F,出现搜索栏,在里面比如输入reg,就可以得到与注册表相关的API
  • 一般用浅颜色标注的地址为系统函数,一般用黑色标注的地址为非系统函数;
  • 在IDA中改基址,edit--->segment--->rebase program,OD里面查看当前模块即可
 
链接:https://www.jianshu.com/p/b483de9b1811
 

 

转载于:https://www.cnblogs.com/hshy/p/11193379.html

weixin_30372371
关注
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1221
前文介绍了软件来源分析,结合网络攻击常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
ida 遇到的 sub_地址 问题
Flyour的博客
06-17 6398
在使用ida 分析 .sys文件时,发现几乎所有的函数名都是 sub_地址 的形式,和别人的不一样,一开始没想明白为什么? 后来查了一下,发现是因为.sys文件里没有符号表导致的。 为什么会没有符号表呢?一般的可执行文件或库文件都会有符号表,但符号表会占据一定的体积。所以为了减小内核的体积,会把符号表去除。 要想进行分析,我们就要拿到符号表,而windows 的符号表其实可以从网上下载...
iOS Hook在IDA显示为sub_xxx的函数
glt_code的博客
10-26 7777
基础 1. Mach-O文件组成部分 Header、Load commands、Raw segment date(常见的一些段__PAGEZERO空指针陷阱段、_TEXT程序代码段、__DATA程序数据段、__LINKEDIT:链接器使用段等); 2. Mach-O文件的加载 dyld Mach-O文件被dyld进行加载的;dyld(the dynamic link editor)是 Ap...
IDA调试干货
box_kun的博客
03-02 2984
1、 IDA各种命名前缀(sub、loc、offset等)的含义 IDA自动生成假名字。他们用于表示子函数,程序地址和数据。根据不同的类型和值假名字有不同前缀 sub_ 指令和子函数起点 locret_ 返回指令 loc_ 指令 off_ 数据,包含偏移量 seg_ 数据,包含段地址值 asc_ 数据,ASCII字符串 byte_ 数据,字节(或字节数组) word_ 数据,16位数据(或字数组) dword_ 数据,32位数据(或双字数组) qword_ 数据,64位数据(或4字数组) f.
IDA,很好很强大
记事本
10-21 7247
IDA,这款可以把程序反编译成C语言的东西。。 我用我们老师C++课上留的一道小学奥赛水平的弱智题的程序代码为例,先用MinGW编译,结果用IDA编译出了几千个函数,全都是sub_加编号的名称,每一个都很短,变量名都是v1、v2等等的,一点也看不懂,我甚至连主函数在哪里都找不到。 然后又用VS2010编译,再反编译,令我大开眼界,函数名、变量名全能被正确地反编译出来,
如何hook那些在IDA显示为sub_xxx的函数
weixin_30750335的博客
04-29 1188
唉,说起来这就是一个坑,Cydia Substrate在其文档也没找到详细说明,最后也只能来看看代码曾半仙最早给的那份substrate-master源码,然后一切就了然于胸了,这个坑很大,很大!!!现在我们先来看下MSHookFunction怎么Hook IDAsub_xxxx函数,然后再来谈谈为啥是这样的。 就以这段代码为例吧,下断点红色选部分,sub_17C94就是我...
linux so库反编译命令,使用IDA编译.so文件并修改
weixin_39640520的博客
05-04 5528
使用IDA编译.so文件并修改简述之前一直在做应用层的开发很少接触底层,总感觉底层是一个很神秘的地方。最近各种原因之下有一些逆向的工作,但是好多应用的核心逻辑都是利用jni在c/c++层去实现的,这就给我们的逆向工作带来了很大的困难,所以了解底层知识还是比较重要的。逆向过程java层面的逆向还是比较简单的,今天主要介绍一下如何逆向.so文件。例子是我最近分析的一个项目,项目数据是从.so库处...
hex反编译成c语言,IDA Hex-Rays反编译器使用的一些小技巧
weixin_42116705的博客
05-18 4709
这是什么?在我的IDA系列,我会介绍一些我在交互式反汇编程序,IDA Pro发现的有趣又有用的东西。我写这篇文章出于两个原因:大部分有价值的信息都很分散,难以找到。有时候,你不得不靠自己去找寻这些信息,或是在论坛寻求帮助。更好的理解IDA的架构可以使你在使用它的时候少一些挫折感,也有节省大量时间。了解你的工具的不足和了解它的功能同样重要。[1]汇编伪代码映射对于这个反编译器,你需要了解的第一...
工具 IDA Pro
Luzhuo 的博客
04-04 1696
工具 IDA Pro 本文由 Luzhuo 编写,转发请保留该信息. 原文: https://blog.csdn.net/Rozol/article/details/79816847 交互式反汇编器专业版, 一款静态编译软件 对源码的改动将无法撤销, 直接修改源码 下载地址(吾爱破解): https://down.52pojie.cn/Tools/Disassemblers ...
IDA pro总结
Life_hes_az的博客
03-10 2447
本文对IDAPro的常见内容进行总结,未完待续。 一、常见符号的含义 sub_xxxx 地址xxxx处的子例程(过程/方法) loc_xxxx 地址xxxx处的一个指令 byte_xxxx 位置xxxx处的8位数据 unk_xxxx 位置xxxx处的大小未知的数据 .text:00401020 ; Attributes: bp-based frame .text:004010...
ida使用时碰到的一些问题
你连心爱的女人的大便都不敢吃, 还敢说爱她
10-16 3776
#1 IDA F5 write access to constant memory detected. output maybe wrong. 这个就shift+F7后选定对应地址所在区段(具体出问题的内存地址在output可以看到), 然后ctrl+e打开编辑器 在segment permissions里面对应属性加上, 另外segment class如果是code/rdata的, 也改成d...
IDA使用之旅(二)工具及窗口的使用
热门推荐
chenyujing1234的专栏
07-21 2万+
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖!   本系列内容是我根据“知其所以然论坛”博主录制的学习视频,做的笔记。 一、主要窗口 1、显示函数调用图表 显示函数调用图表:   2、显示当前函数的流程图       3、窗口管理。 可以打开自己无意关闭的窗口,可以增加查看的标签选项: 或者重设窗
IDA Pro基本简介
weixin_33711641的博客
11-20 2468
  IDA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window)。     IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头默认为红色,蓝色表示默认下一个执行块。 在寄存器窗口显示着每个寄存器当前的值和对应在反汇编窗口的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢...
IDA逆向前缀说明
yfh1985sdq的专栏
02-26 1537
前缀 说明 sub_ 指令和子函数起点 locret_ 返回指令 loc_ 指令 off_ 数据,包含偏移量 seg_ 数据,包含段地址值 asc_ 数据,ASCII字符串 byte_ 数据,字节(或字节数组) word_ 数据,16位数据(或字数组) dword_ 数据,32位数据(或双字数组) qword_ 数据,64位数据(或4字数组) flt_ 浮点数据,32位(或浮点数组) db
反汇编吸星大法-IDA神器特殊之处
HUA的专栏
04-15 1597
看过>的朋友一定知道吸星大法吧,这是一种可以吸取他人内功来使自己功力增长的神功,(段誉的北冥神功也是这样, 扯远了...).对于程序员来说,增长自己编程功力的一个好方法是阅读其它人开发的程序的源码,从而把别人的技术来消化成为自己知识,这是不是很象吸星大法? 但开源的程序毕竟是在少数,大多数程序都只会分发可执行文件及相关文件,这时我们要想查看此程序的代码,就只有把它反汇编,当然这需要一定的汇编功底
IDA笔记
公众号shadow sock7
11-13 1087
今天终于找了一下IDA方面的知识。用于自动生成名称的一些常用前缀包括以下一些:sub_xxxxxx:地址xxxxxxx处的子例程 loc_xxxxxx:地址xxxxxx处的一个指令 byte_xxxxxx:位置xxxxxx处的8位数据 word:16位 dword:32位 unk_xxxxxx:位置xxxxxx处的大小未知的数据push和pop会修改esp,要记住参考: http://blog.c
IDA编译的几个注意和技巧
qq_36535153的博客
04-08 1万+
IDA逆向程序的经验总结关于F5汇编代码不能转成c的伪代码的几个问题总结关于一些类型转换以及指针和地址的总结最可以拿来当教训的应该是 hide cast 功能1.jmpout的问题功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必...
ida编译64位为啥
最新发布
09-06
IDA(Interactive Disassembler)是一款功能强大的逆向工程工具,它支持多种处理器架构的程序的静态分析。当您提到使用IDA编译64位程序时,这意味着您想使用IDA来分析和理解一个64位的可执行文件或程序代码。64位...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值