ida提取hashab算法记录

最新推荐文章于 2022-11-08 11:28:47 发布
最新推荐文章于 2022-11-08 11:28:47 发布
阅读量141 收藏
点赞数
原文链接:http://www.cnblogs.com/xiaoshame/p/4054827.html
版权

      话说ida f5功能确实很强大,以后还会使用到f5进行提取代码,记录下这次提取代码过程中的想法。

      首先需要注意f5生成的伪代码函数内的局部变量都是以1字节对齐的,f5把一个函数使用的堆栈中的地址都对应到了一个变量上。ida生成的伪代码中会经常在某个变量的基础上对后面的数据进行赋值和拷贝。可以使用下面的方法进行解决。然后使用全部替换,在所有的变量前都加上data.。

#pragma pack(1)
    struct data_t
    {
        signed int v3; // esi@1
        signed int v4; // esi@3
        __int16 v6; // [sp+8h] [bp-198h]@1
        char v7; // [sp+Ah] [bp-196h]@1
        int v8; // [sp+Ch] [bp-194h]@1
        __int16 v9; // [sp+10h] [bp-190h]@1
        char v10; // [sp+12h] [bp-18Eh]@1
        int v11; // [sp+14h] [bp-18Ch]@1
        int v12; // [sp+18h] [bp-188h]@1
        int v13; // [sp+1Ch] [bp-184h]@1
        char v14; // [sp+20h] [bp-180h]@1
        char v15; // [sp+24h] [bp-17Ch]@1
        char v16; // [sp+25h] [bp-17Bh]@1
        int v17; // [sp+26h] [bp-17Ah]@1
        int v18; // [sp+2Ah] [bp-176h]@1
        int v19; // [sp+2Eh] [bp-172h]@1
        char v20; // [sp+32h] [bp-16Eh]@1
        __int16 v21; // [sp+33h] [bp-16Dh]@1
        char v22; // [sp+35h] [bp-16Bh]@1
        int v23; // [sp+36h] [bp-16Ah]@1
        __int16 v24; // [sp+3Ah] [bp-166h]@1
        char v25; // [sp+3Ch] [bp-164h]@1
        char v26[31]; // [sp+3Dh] [bp-163h]@3
        char v27; // [sp+5Ch] [bp-144h]@5
    }data;
#pragma pack()

2.需要注意的是生成的伪代码的局部变量中有些变量的大小有误,在这次提取算法过程中在这点上吃足了苦头。

比如说在上面的代码中f5生成的伪代码最后的两个局部变量很可能是:

       char v26; // [sp+3Dh] [bp-163h]@3
       char v27; // [sp+5Ch] [bp-144h]@5

一般都需要对局部变量的大小进行校验,比较好的一点是ida生成的伪代码后面有注释,会告诉我们变量的大小是多少,上面的代码应该修改为

       char v26[31]; // [sp+3Dh] [bp-163h]@3
       char v27; // [sp+5Ch] [bp-144h]@5

如果把局部变量的地址对齐和变量的大小都修改完成后,提取的函数基本就没有什么大的问题了。

3. 需要注意的是ida生成的伪代码会有一些宏需要自己进行补充

#define _HIDWORD(x) (((_DWORD*)&x)[1])
#define _LODWORD(x) (((_DWORD*)&x)[0])
#define _HIWORD(x) (((_WORD*)&x)[1])
#define _LOWORD(x) (((_WORD*)&x)[0])
//#define __PAIR__(x,y) (((unsigned long long)(x) << 32) + (y))
#define _LOBYTE(x) (((_BYTE*)&x)[0])
#define BYTE1(x) (((_BYTE*)&x)[1])
#define BYTE2(x) (((_BYTE*)&x)[2])
#define BYTE3(x) (((_BYTE*)&x)[3])

这些都需要自己进行补齐

4.ida生成的伪代码有部分会出现问题,主要体现在 a * ( b / c)这样的表达式写成a * b / c,这样的问题需要进行具体的跟踪比对才能发现,有这样的问题就会比较耗时间,其实我不想说我在这个问题上被坑了好多时间进去了。

大体上在使用ida提取算法的时候注意以上几点,就会节省很多时间。

最后把我使用ida提取的hashab算法共享上来,我把代码中计算偏移地址的偏移数据删除了,如果某位需要使用就要自己计算下获取偏移地址时使用的偏移数据,不多只需要改一行代码。

 http://files.cnblogs.com/xiaoshame/hashab.zip

转载于:https://www.cnblogs.com/xiaoshame/p/4054827.html

weixin_30535913
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
findhash:一个IDA脚本,可以检测出哈希算法(无论是否魔改常数)并生成frida hook代码
03-25
芬达哈希 在哈希算法上,比Findcrypt更好的检测工具,同时生成Frida hook代码。 使用方法 把findhash.xml和findhash.py放到ida插件目录下 ida -edit-plugin-findhash 试图解决的问题 哈希函数的初始化魔数被修改 想快速验证所分析的函数中是否使用了MD5,SHA1,SHA2这些哈希算法。 Findcrypt / Signsrch没发现来 可以应对如下各种findcrypt发现或哈希函数被魔改的情况 原理 通过正则表达式校正伪伪C代码中的初始化魔数代码以及哈希运算函数,很粗鲁暴力,所以运行时间会比较长,因为要反编译所有函数,但对哈希算法的检测上效果非常好。 去做 适应arm64 增加对特征常量立即数的搜索 根据相关理论,高占比的位运算指令以及循环,是加解密算法难以抹去的结构特征。
IDA数据分片算法
04-16
Rabin的信息分散法IDA算法 c++实现 数据分片算法
使用IDA逆向定位病毒特征码
冷风
03-16 4749
对于木马技术爱好者来说,会做免杀是必然的一项技术,在自己编写的马被杀的情况下,结合源代码定位出被杀的函数是免杀中重要的一项技能。 杀毒软件在定位特征码的时候,有时定位的导入导出函数,这种情况相对好找,但有时候定位的是自己定义的一段函数。 这时候想找出被杀的部分就比较麻烦了,在学习的时候发现通过以下办法可以轻松的解决这个问题。实现方法如下 1.使用MYCCL定位出被杀的物理特
IDA源码分析工具
02-06
IDA源码分析工具
一个用于提取内存的IDA脚本
parker的专栏
12-28 4082
import struct start = AskAddr(0x2D590 , "start address:") print "start address:%08x"%(start) length = AskLong(0x208 , "length:") print "length:%d"%(length) fn = AskStr("c:\\table.dump" ,"save as:" ) w
15 puzzle C语言IDA* 求解算法
10-23
使用纯C语言,IDA*搜索,求解15 puzzle(15数字谜题,移动空白方块恢复1-15顺序的一种游戏)的算法
安卓逆向学习笔记之Frida+ida trace分析非标准算法
03-15
安卓逆向学习笔记之Frida+ida trace分析非标准算法
安卓逆向学习笔记之ida trace分析被ollvm混淆的非标准算法.docx
最新发布
03-18
安卓逆向学习笔记之ida trace分析被ollvm混淆的非标准算法.docx
IDA算法解搬运工问题.doc
05-26
IDA算法解搬运工问题.doc
IDA密码算法匹配插件findcrypt2升级指南
03-15
IDA密码算法匹配插件findcrypt2升级指南,IDA Proidb findcrypt3
IDA Python提取数据
XFox_的博客
10-02 1642
IDA Python提取数据 提取good和data 先找到他们的地址,然后看每个字符占据几个自己 data:
IDA提取的机器码快速转换方法
輚至消亡
11-03 1664
一般提取出来是这样的: 需要的仅仅是红框框那部分机器码,要把它手工转成数组非常麻烦,于是,我写了段小代码可以直接把这种样式的反汇编代码直接转成机器码数组: 这样的话你只需要添加一个花括号就可以直接使用shellcode了。准备两个文本文件即可 #include <stdio.h> #include <windows.h> #define MAX 1024 /* * @Description 提取IDA格式的反汇编代码成机器码数组形式 * @param1 pszInp
1028 - 搜索IDA*算法 - Flood it(HDU 4127)
Faithfully-xly的博客
10-28 125
传送门 Analysis IDA*算法 可以发现如果当前矩阵中除了左上角的连通块之外,共有M种颜色,那么还 需要的步数不小于M。如果当前搜索深度+估价函数的值&gt;深度限制,可以剪 枝。 • 每次寻找左上角的格子所在的连通块耗费的时间常数巨大,可以在这里寻求 突破。我们引入一个N*N的v数组。左上角的格子所在的连通块里的格子标记 为1。左上角连通块周围一圈格子标记为2,其它格子标记为0。如果某...
IDA的详细使用指南以及核心功能讲解
weixin_60363168的博客
11-08 7737
IDA的详细使用指南以及核心功能讲解
Android逆向-实战so分析-某洲_v3.5.8_unidbg学习
哔_哩哩!的博客
07-20 4511
文章目录1.unidbg的介绍2.unidbg的安装2.1.下载unidbg工具2.2.导入IDEA2.3.验证导入是否成功3.unidbg的使用3.1.目标方法静态分析3.2.模拟执行目标方法3.3.算法分析3.3.1.OLLVM去混淆3.3.2.指令级TraceJNIEnv、jobject、jclassJNIEnv指针是什么东西?jobject和jclass又有什么区别? 1.unidbg的介绍 unidbg是一款基于unicorn的用来模拟执行so的逆向工具,可以让安全研究人员直接在PC上运行andr
IDA逆向笔记-使用脚本代码获取exe里的所有函数信息
qq_20031585的博客
04-09 2715
IDA软件中,写一个IDC脚本(类C语言),历遍一个exe文件里所有的函数,及函数内变量空间地址区域,参数个数等信息打印出来。
ida pro so文件f5后伪c后的 jni函数优化
大老的逆向专栏
09-30 4326
ida pro so文件f5后伪c后的 jni函数优化 自己写的原创工具生成的伪c代码进行处理以下是部分结果的例子 int __fastcall Java_com_esun_util_libc_JNINativeInterface_getRewardOptimizeResult(int a1, int a2, int a3, int a4, int a5, int a6) {   in
Android arm64位内核文件提取ida反编译内核 rom设置
AppNinja 开发手记
02-10 4284
高通 /dev/block/platform/soc/1d84000.ufshc/by-name # ls -la |grep boot lrwxrwxrwx 1 root root 16 1970-04-28 07:24 boot_a -> /dev/block/sde11 lrwxrwxrwx 1 root root 16 1970-04-28 07:24 boot_b -> /dev/block/sde31 dd if=/dev/block/sde11 of=/sdcar...
IDA*算法算法原理
04-14
IDA*算法是一种启发式搜索算法,它在A*搜索算法的基础上进行优化。IDA*算法采用深度优先思想,通过逐渐增加阈值的方式控制搜索深度。在搜索过程中,每个节点的成本值被估算为到达该节点的路径代价加上该节点到目标...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值