【逆向工具】IDA使用1-VS2015版本debug查找Main函数,加载符号文件

最新推荐文章于 2024-01-03 14:47:27 发布
最新推荐文章于 2024-01-03 14:47:27 发布
阅读量643 收藏 1
点赞数
文章标签: 数据库 操作系统 c/c++
原文链接:http://www.cnblogs.com/17bdw/p/6618124.html
版权

IDA 常见操作

  1. 空格,切换反汇编视图
  2. 选择CALL或是跳转 进入函数内部或是跳转处
  3. 返回键 ESC

549050-20170325192527158-625520778.png

daq.exe 分析32位程序 ,生成的IDA数据库文件是 .idb
Idap64.exe 分析64位程序, 生成的IDA数据库文件是 .i64

查找程序main函数入口点

在exports选项卡下找到入口点

549050-20170325192558643-2108871918.png

双击start_0 就进到了函数入口处。在没有导入签名库识别库函数前,显示的是sub_XXXX这样的地址。

549050-20170325192623908-1731567164.png

使用IDA签名文件识别库函数

签名(view->open subviews->Signatures,右键->Apply new signature,可以用来指定加载IDA的库函数签名文件。这个是IDA的非常有用的一个功能。在逆向过程中,MFC、SDK、Delphi编写的程序都会用到大量的库函数,而IDA的库函数签名文件能够识别出大部分的库函数。我们分析用户函数时,根据这些库函数推测出用户函数的作用。不同语言编写的程序也需要选择使用相对应的签名文件。例如MFC则选择使用vc32mfc,控制台则选择使用vc32rtf等。

549050-20170325192924752-1307746892.png

549050-20170325192942002-513614979.png

库函数名显示出来了
549050-20170325193001252-610111079.png

快捷键

除了使用图形化外,还可以通过记忆快捷键加快逆向速度。

使用快捷键,shift+F5打开签名窗口
使用快捷键Insert导入VC的签名库

动态调试验证分析

F2在调试处下断点,在平台选择的下拉列表选择【Local Win32 debugger】,点击旁边的 绿色三角启动按键。单步步入与单步步过跟OD的按键一样,都是F7、F8

549050-20170325193041080-262421798.png

549050-20170325193100377-772672679.png

修改main函数的名字

找到main函数后,使用快捷键 【n】 修改签名文件识别出来的___tmainCRTStartup函数改名成main。可以将main函数的默认参数显示出来,

【修改前与修改后对比】

549050-20170325193134424-871099070.png

549050-20170325193150705-1832705243.png

549050-20170325193205080-1785529966.png

修改之后出现的_cdecl为函数调用协议。

相关知识点:

  __stdcall、__cdecl和__fastcall是三种函数调用协议,函数调用协议会影响函数参数的入栈方式、栈内数据的清除方式、编译器函数名的修饰规则等。

调用协议常用场合

__stdcall:Windows API默认的函数调用协议。
__cdecl:C/C++默认的函数调用协议。
__fastcall:适用于对性能要求较高的场合。

函数参数入栈方式

__stdcall:函数参数由右向左入栈。
__cdecl:函数参数由右向左入栈。
__fastcall:从左开始不大于4字节的参数放入CPU的ECX和EDX寄存器,其余参数从右向左入栈。

栈内数据清除方式

__stdcall:函数调用结束后由被调用函数清除栈内数据。
__cdecl:函数调用结束后由函数调用者清除栈内数据。
__fastcall:函数调用结束后由被调用函数清除栈内数据。

函数调用方式例子:

●printf 是什么方式?
答:C方式,_cdecl,CALL完之后在函数外面平衡参数的堆栈

●MessageBoxW是什么方式?
答:_stdcall方式,CALL内部平衡堆栈

参考:

逆向分析点滴
http://blog.csdn.net/iiprogram/article/details/1665392

转载于:https://www.cnblogs.com/17bdw/p/6618124.html

weixin_30954607
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
idacode:IDA和VS Code的集成,可以轻松执行和调试IDAPython脚本
03-19
IDA代码 使用IDACode可以轻松地在IDA环境中执行和调试Python脚本,而无需离开Visual Studio Code。 VS Code扩展可以在找到。 IDACode仍处于早期状态,预计会出现错误。如果遇到任何问题,请打开一个新的问题。 特征 速度:快速创建和执行脚本。 调试:随时附加一个Python调试器。 兼容性:IDACode不需要您以特定方式修改脚本。可以从IDA内部执行所有脚本,而无需进行更改。 模块化:IDACode并未广泛使用安全包装器进行线程同步,这使您可以在任何给定时间从任何路径导入任何模块。而是IDACode将脚本执行线程与IDA主线程同步,以避免性能和意外问题。 IDACode支持Python 2和Python 3! 设置 要设置IDA插件的依赖关系,请运行: # make sure to use the correct Python version
IDA如何识别ARM的main函数
chupu2979的博客
06-24 444
android 源码crtbegin_static.S中的_start函数如下(抽取重要部分): _start: mov r0,sp @取堆栈指针 sp指向main函数的参数argc(堆栈内容依次为argc,argv[],argc[]) mov ...
exe怎么找main函数
weixin_30258901的博客
11-05 425
先说DEBUG版本的命令行EXE main函数有两种,第一种是int main(),第二种是int main(int argc,char* argv[]) 不管哪种只要查找j___p___argc就能找到了main函数。 VS2017编译的EXE用IDA打开只要在import中找到j___p___argc 就能找到引用它的地方了,引用位置的下一个CALL就是main函数的ca...
C++反汇编与逆向分析》动态调试找到main函数
weixin_70811025的博客
01-03 934
我们在VS C++开发程序在调试时总是从main或WinMain函数开始,这就让我们很容易误认为它们是程序的第一条指令,但是事实并非如此。main或WinMain函数需要一个调用者,在它们被调用前,编译器其实已经做了很多事情,
【reverse】buu-[Zer0pts2020]easy_strcmp——main函数的启动过程+IDA动态调试ELF
hans774882968的博客
09-12 694
64位ELF。用IDA打开即可看到main函数:会这么简单嘛?我们应该关注a2[1]是否被修改了。因此看看start函数:查阅_libc_start_main的资料(参考链接1)可知init函数会在main函数之前被调用。有这些函数被调用了:看了看sub_6E0啥也没有,那重肯定是sub_795了…… 即使不知道sub_795 hook了strcmp也没关系,我们断断在main函数,然后“步进”strcmp函数也能找到关键代码。
IDA pro逆向工具使用以及逆向分析程序实例操作
04-18
1.逆向工程介绍,IDA页面简单介绍,开发和逆向的对比 2.如何定位MAIN函数,修改逻辑跳转指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密源码 4.动态调试 包括动态调试解密案例 5....
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
1. IDA pro是7.7版本。【动态分析和分析so文件必备】 2. AndroidKiller是一个集成工具箱(apktools等都在里面)【分析和修改smali代码】 3. Jadx-gui 可以将apk直接反编译为Java代码,但是不能查看。 4. WinHex 由于...
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
769482 从零开始学IDA逆向1-31章
12-21
769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
本文将深入探讨反编译工具IDA Freeware 7.6的使用,以及如何对Qt5程序进行初步逆向分析和解析。 IDA Freeware是由Hex-Rays公司提供的一个强大的反编译器和动态调试器。这个免费版本虽然功能相对有限,但仍然提供了...
删除所有ncb,pdb文件,debug,release文件
04-25
c++ 开发人员创建的工程文件夹下有很多占用大量空间的文件,该工具可以选择目录,并删除目录下面所有的大文件,减小存储和传输压力。 若 debug 或 release 下面有dll文件,可能为重要外部文件,则不删除
IDA.驱动文件逆向工具
04-17
逆向DLL文件时,IDA能够帮助我们理解程序的工作原理,查找潜在的安全漏洞,或者对恶意软件进行分析。DLL文件是一种可重用的代码库,Windows操作系统中广泛应用,它们允许多个程序共享同一段代码和数据,以提高效率...
IDA反编译软件-windows版本
最新发布
03-29
交互式反汇编器专业版(Interactive...此外,IDA不仅使用数据类型信息,而且通过派生的变量和函数名称来尽其所能地注释生成的反汇编代码。这些注释将原始十六进制代码的数量减到最少,并显著增加了向用户提供的符号化信
05.IDA Pro反汇编工具初识及逆向工程解密实战1
08-03
Windows PE 第一章开发环境和基本工具使用 - TK13大神160个CrackMe001 - CSDN鬼手大神160个Crackme030之一元一次方程
知其所以然论坛-IDA逆向精讲视频教程
11-20
9.栈帧--1 10.栈帧--2 11.IDA搜索功能 12.充命名与局部变量 13.IDA的注释与代码转换 14.IDA中操纵函数 15.IDA字符与数据间的转换 16.IDA中数组元素的访问 17.IDA中结构体与数据库 18.C++逆向工程基础 19.IDA中的...
vs2019 编译ida7.4插件
JackBoy的博客
09-03 985
先下好你的sdk 一.编译运行在ida64.exe的插件 C/C++->常规 附加包含目录添加ida sdk include目录,例如C:\IDA64\IDASDK64\Include C/C++->预处理器,添加__NT__;__IDP__字段到预处理器定义中。 C/C++->代码生成,关闭缓冲区安全检查,将基本运行时检查设为默认,将运行库设置为多线程(MT) C/C++->高级,将调用约定修改为__stdcall (/Gz) 连接器->常规,将输出文件
iOS Hook在IDA中显示为sub_xxx的函数
glt_code的博客
10-26 7621
基础 1. Mach-O文件组成部分 Header、Load commands、Raw segment date(常见的一些段__PAGEZERO空指针陷阱段、_TEXT程序代码段、__DATA程序数据段、__LINKEDIT:链接器使用段等); 2. Mach-O文件加载 dyld Mach-O文件被dyld进行加载的;dyld(the dynamic link editor)是 Ap...
逆向之1PE文件通过逆向工具IDA和OD)寻找main和winmain
ISNS的博客
03-20 2651
这学期逆向这门课的第一个小组作业是:PE文件通过逆向工具IDA和OD)寻找main和winmain。 完整的实验报告见组长的博客: https://www.cnblogs.com/-mo-/p/12524691.html 因为我在小组分工里完成的是寻找winmain的过程(其实就是按照组长的博客复现了一遍、录了视频摆了),所以这里也只记录了关于winmain的一些知识。 1.定义 WinMa...
从零开始学ida逆向1-31章
07-29
此外,我们还可以使用IDA的动态分析工具查找和修复软件中的漏洞,提高软件的安全性。 最后,在学习IDA逆向的过程中,我们还需多实践和思考。可以自己寻找一些二进制文件来进行分析和反编译,将理论知识应用到实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值