arm ida 伪代码 安卓 符号表_iOS符号表恢复&逆向支付宝

最新推荐文章于 2023-04-17 15:46:42 发布
最新推荐文章于 2023-04-17 15:46:42 发布
阅读量379 收藏 1
点赞数
文章标签: arm ida 伪代码 安卓 符号表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32427471/article/details/113374608
版权

推荐序

本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的***,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程。

本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star 和提 Issue。感谢作者授权发表。

作者介绍:杨君,中山大学计算机系研究生,iOS 开发者,擅长领域 iOS 安全和逆向工程,个人博客:http://blog.imjun.net 。

前言

符号表历来是逆向工程中的 “必争之地”,而 iOS 应用在上线前都会裁去符号表,以避免被逆向分析。

本文会介绍一个自己写的工具,用于恢复 iOS 应用的符号表。

直接看效果 , 支付宝恢复符号表后的样子:

a72aaa2e434a6dd4830e64356f719a5c.png

文章有点长,请耐心看到***,亮点在***。

为什么要恢复符号表

逆向工程中,调试器的动态分析是必不可少的,而 Xcode + lldb 确实是非常好的调试利器 , 比如我们在 Xcode 里可以很方便的查看调用堆栈,如上面那张图可以很清晰的看到支付宝登录的 RPC 调用过程。

实际上,如果我们不恢复符号表的话,你看到的调试页面应该是下面这个样子:

e856793114e031c7595bef46594ee5e6.png

同一个函数调用过程,Xcode 的显示简直天差地别。

原因是,Xcode 显示调用堆栈中符号时,只会显示符号表中有的符号。为了我们调试过程的顺利,我们有必要把可执行文件中的符号表恢复回来。

符号表是什么

我们要恢复符号表,首先要知道符号表是什么,他是怎么存在于 Mach-O 文件中的。

符号表储存在 Mach-O 文件的 __LINKEDIT 段中,涉及其中的符号表(Symbol Table)和字符串表(String Table)。

这里我们用 MachOView 打开支付宝的可执行文件,找到其中的 Symbol Table 项。

a9803e8fb861db1789e746645dda35c6.png

符号表的结构是一个连续的列表,其中的每一项都是一个 struct nlist。

//  位于系统库  头文件中

struct nlist {

union{

// 符号名在字符串表中的偏移量

uint32_t n_strx;

} n_un;

uint8_t n_type;

uint8_t n_sect;

int16_t n_desc;

// 符号在内存中

最低0.47元/天 解锁文章
査志伟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜
09-19
IDA(Interactive Disassembler Pro)是一款广泛应用于逆向工程领域的专业软件,它能够帮助用户分析二进制代码,理解程序的内部运作机制,尤其适用于汇编语言的反汇编和调试。在“IDA.rar_IDA的_ida_汇编_逆向_閫嗗...
逆向-还原代码之print (Arm 64)
xiaozhi
04-10 851
逆向-还原代码之print (Arm 64)
(三)ARM 常用汇编指令(2)之ARM堆栈保护/恢复现场分析
songze_lee
04-10 5586
3.3 APCS(ARM Procedure Call standard)规则 a.寄存器的使用规则 r0-r3  用于函数的传参,使用之前不用保存他的值,别名a1-a4 r4-r11 用于保存函数内部的局部变量 别名 v1 -v8 使用之前保存他的值,使用之后恢复他的值, r11    特别的别名fp  r12    别名ip  r13    别名sp栈指针寄存器,不能用于其
arm 汇编代码还原--for语句还原
看雨听风的专栏
12-15 879
arm汇编for语句还原 代码片段代码特征 *循环变量x初始化* LDR R3=[R11,#_0x38] STR R3=[R11,#_0x1C] ;此处相当于for(dword var_1c=var38;) B loc_DE87FDF8 ;先跳转到循环判断处loc_DE87FDE0: **循环体** LDR R0,[R11,#_0x1C] MOV R1,#0x400
逆向-还原代码之(*point)[4]和char *point[4] (Arm 64)
xiaozhi
04-17 1241
逆向-还原代码之(*point)[4]和char *point[4] (Arm 64)
iOS-符号表恢复&逆向支付宝
MinggeQingchun的博客
04-24 876
前言符号表历来是逆向工程中的“必争之地”,而iOS应用在上线前都会裁去符号表,以避免被逆向分析。本文会介绍一个自己写的工具,用于恢复iOS应用的符号表。直接看效果,支付宝恢复符号表后的样子:文章有点长,请耐心看到最后,亮点在最后。为什么要恢复符号表逆向工程中,调试器的动态分析是必不可少的,而 Xcode + lldb 确实是非常好的调试利器, 比如我们在Xcode里可以很方便的查看调用堆栈,如上面...
IDA.rar_IDA静态脱壳_ida_脱壳_逆向
09-20
刚接触逆向的,可能不...我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能分析的程序,并没有修复成脱壳的PE文件。 另,我脱的是MSLRHv0.31a。比较简单的壳,适合初学者学习
IDAExample.rar_IDA OPENSEES_OPENSEES_ida_matlab_opensees sdof
07-13
ida example for opensees
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
2. AndroidKiller是一个集成工具箱(apktools等都在里面)【分析和修改smali代码】 3. Jadx-gui 可以将apk直接反编译为Java代码,但是不能查看。 4. WinHex 由于IDA多用于分析,该软件用来修改对应的二进制。 5. ...
IDAPRO.rar_IDA Pro_ida_idapro_ida中文版_vc IDA Pro
09-14
IDA PRO中文版本帮助手册,喜欢IDA的朋友不要错过。
逆向 - 恢复符号表
Coder
01-04 2856
获取符号表偏移前的地址 当App准备上线打生产环境的包时,编译器去掉符号表信息;所以在iOS逆向调试的时候,lldb调试中查看代码的函数调用栈时符号偏移前的地址 = 符号偏移后的地址(lldb断点地址) - ASLR偏移地址,其中 ASLR偏移地址是App启动后系统分配的内存区域的的首地址,在lldb中通过image list -o -f来获取某一进程的ASLR地址。如下图获取QQ的ASLR地址...
ida pro恢复去符号程序的符号
NoOneGroup
01-08 3204
ida pro恢复去符号程序的符号 新博客链接 序言 第一部分说的都是废话吧,对我来说,建议用后面部分的 恢复方法 lscanf 首先获得sig,我这里用的是lscanf里的sig 下载地址 先扫描下 python lscan.py -f stripped -S amd64/sig/ amd64/sig/libc-2.13.sig 12266/3369 (364.08%) amd64/sig/li...
利用IDA学习将ARM汇编翻译成伪代码
AndroidDeveloper的专栏
05-13 3530
首先要熟悉ARM汇编指令,这是基础条件。其次是F5可以看伪代码。这个时候在伪代码处,右键copy to assemble就会出现伪代码和汇编的对照表。
arm ida 伪代码 安卓 符号表_IDA调试界面介绍及快捷键
weixin_31940053的博客
01-08 768
点击蓝字默默关注首先,打开IDA工具,进入IDA的调试界面。1IAD调式界面介绍1.IDA-view-PC:反汇编窗口,如图1.1所示。 (图1.1)2.Hex-View:十六进制编辑窗口,如图1.2所示。 (图1.2)3.Output windows(下方) :输出窗...
IDA配置符号表路径
、moddemod
05-20 2220
IDA安装目录找到pdb.cfg 配置PDBSYM_SYMPATH
Re | 首次遇见符号修复 gmp库
BadRer的博客
04-17 780
前言 第一次遇见符号修复,于是就记录下来了。 分析 首先拿到题目,emmm,全是IDA无法识别的函数,而且函数表特别多,说明程序去除了符号表,并且使用的是静态链接。所以需要手动修复符号表。全局搜索字符串可以看到gmp字样,猜测是使用了gmp的静态库。(当然可以使用nm ldd 等命令来进行查看) 获取gmp的静态库 网上搜索了一番没找到现成的静态库,所以只能字节编译了。 按着...
ida逆 stm32 bootloader
dp__mcu的专栏
03-25 4058
ROM:1FFFB000 ;ROM:1FFFB000 ; +-------------------------------------------------------------------------+ROM:1FFFB000 ; |   This file has been generated by The Interactive Disassembler (IDA)    |ROM:1F...
ARM学习(7) symbol 符号表以及调试
张一西的博客
06-19 1194
ARM Symbol符号表的理解与应用
ida手动加载指定模块的符号
lougd的专栏
07-18 7398
ida手动加载指定模块的符号
ida pro 伪代码分析
最新发布
06-08
IDA Pro 伪代码分析是一种将反汇编代码转换为高级语言伪代码的技术。它可以帮助分析人员更好地理解程序的逻辑和功能,并提高代码分析的效率。 IDA Pro 的伪代码分析功能可以将反汇编代码转换为 C 语言风格的伪代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值