ida如何识别linux内核函数,利用ida内置脚本IDC静态调试和Linux内核动态调试gdb两种方法解决攻防世界no-strings-attached...

最新推荐文章于 2021-11-03 20:52:13 发布
最新推荐文章于 2021-11-03 20:52:13 发布
阅读量367 收藏 1
点赞数
文章标签: ida如何识别linux内核函数

利用ida内置脚本IDC静态调试和Linux内核动态调试gdb两种方法解决攻防世界no-strings-attached

一、首先来看静态调试的解决办法

1、文件识别

直接拖进PE识别工具 elf/32位

87edd0940c4299e11fe187011004d9aa.png可以看出不是window可执行的PE文件,而是以Linux为内核的ELF文件,要在Linux系统下进行运行。

2、进行汇编与反汇编

话不多说,程序直击拖进ida.(注意这里的程序是32位的,要用32位ida来进行反汇编)

4303d5b841f61892e62228d15492ef99.png

21d06fdac0c861b0bfff2c84c5a7d296.png

加密是对s和dword_8048A90进行操作

s代码段

1852f3da8efa79f8b36786430429559f.png

由于我们一个一个读取数据太麻烦这里我们利用ida的内置脚本IDC将十分方便

68668d6e5299bd861271febf4f317174.png

7294c3f97e46f85f925f059f046fdb5b.png

这样我们就得到s全部的数据

d47ef5b0ba55ccad6e922e7d4ed9b950.png

接下来我们再打一脚本来模拟加密过程

09fb22a9e3e0fba9c55c5e9541ca9884.png

运行之后我们就可以得到答案

dd4b8f2054d42ba3b66e94c5d5c710a9.png

通过静态调试后我们发现flag为9447{you_are_an_international_mystery}

二、Linux动态调试gdb来解决该问题

从上面ida的分析我们可以知道,加密过程decrypt运行完成后只要知道返回值dest即可,所以利用gdb在decrypt下断点即可

1、gdb ./文件名 载入程序

ffd10551b53d3c3b13131d1ac0c2cb9a.png

2、b decrypt(函数名)在decrypt下断点

0fa4539bfa2847e914973bfee42df397.png

3、r运行

d233dedcbcfa45e2b7d875cbedd0dd06.png

4、n单步进入

b1d856bd894d7ca29c90340204b3007a.png

5、x查看值 /s以字符串的形式 $eax 查看寄存器eax的值

0a1dae416e0a9fba18b22a9732590c4e.png

文章来源: blog.csdn.net,作者:HeartEarth,版权归原作者所有,如需转载,请联系作者。

原文链接:blog.csdn.net/m0_50971344/article/details/113576920

皮耶霍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux样本——IDA调试分析ELF文件
ATree的博客
04-25 3077
主要是自己遇到了一个Linux样本,记录下从不熟悉到熟悉的过程,也可以帮助更多在逆向分析这条路上的人。 Linux平台调试工具 1、动静分析结合的跨平台工具-IDA 2、无图形界面的调试神器-GDB 3、Linux平台开源调试工具-radare2 使用IDA远程调试 1、Linux系统配置调试ELF文件环境,使用file命令查看elf文件类型,得知文件运行平台是32位 2、拷贝I...
ida 解析linux.bin,使用IDA配合qemu实现调试嵌入式BIN文件
weixin_30417063的博客
05-15 330
新人第 不知道几次发帖 直接两开花吧因为某些需要我手上多了一个从嵌入式设备Flish中读取出来的二进制文件我们事先通过firmwork 之类的工具确定了对方是Linux的操作系统并且确定了 拿到手的BIN文件时他的Boot 程序 ELF文件格式然后这个时候完全看静态分析的代码太累了(虽然说可以直接找到Linux的源代码来阅读,但是难免以后还会遇到类似的问题且找不到源码的时候)所以...
ida如何识别linux内核函数,样本逆向中系统调用的识别方法
weixin_39637924的博客
05-03 517
无符号表情况下的逆向LINUX平台下的程序,可以通过strip程序进行精简,精简过的可执行文件会变小,同时又丝毫不影响执行效率。但这种情况会给程序逆向带来困扰。由于没有符号表的支持,所有函数在IDA中都会被显示为sub_xxx的形式,这会给逆向工程带来麻烦。这里简单记录一下各常见平台下的系统调用识别方法。常见平台的系统调用识别方法无论哪个平台的系统调用都有两个关键点,一个是调用指令,另一个是调用号...
LINUX 下的逆向 用 IDA 分析,样本逆向中系统调用的识别方法
weixin_39601056的博客
05-13 374
作者:RootKiter无符号表情况下的逆向LINUX平台下的程序,可以通过strip程序进行精简,精简过的可执行文件会变小,同时又丝毫不影响执行效率。但这种情况会给程序逆向带来困扰。由于没有符号表的支持,所有函数在IDA中都会被显示为sub_xxx的形式,这会给逆向工程带来麻烦。这里简单记录一下各常见平台下的系统调用识别方法。常见平台的系统调用识别方法无论哪个平台的系统调用都有两个关键点,一个是...
ida调试linux程序,[原创]IDA动态调试ELF
weixin_39758956的博客
05-01 418
0x00:环境待调试ELF文件IDA 7.0主机:Windows虚拟机:Linux达成效果:在Window上利用IDA远程动态调试linux里的ELF文件0x01:Unbuntu里运行IDA的服务器组件IDA附带以下组件:linux_server:在Linux计算机上执行的、用于调试32位Linux应用程序的服务器组件。linux_server64:在64位Linux计算机上执行的、用于调试64位...
Always-Y#Binary_study#IDA-Linux远程调试1
07-25
起因今天刷BUUCTF第三题 Reverse2,由于该程序石ELF格式,只能运行在Linux动态调试需要GDB,对此我并不熟悉因此,跟大佬学习了,将软件放在L
gef:GEF-针对漏洞利用开发者和反向者的GDB增强功能
02-02
它使用Python API向GDB提供了其他功能,以在动态分析和漏洞利用开发过程中提供帮助。 应用程序开发人员也将从中受益,因为GEF消除了大部分常规GDB的晦涩之处,避免了重复传统命令或从调试运行时中提取相关信息。 ...
idacode:IDA和VS Code的集成,可以轻松执行和调试IDAPython脚本
03-19
使用IDACode可以轻松地在IDA环境中执行和调试Python脚本,而无需离开Visual Studio Code。 VS Code扩展可以在找到。 IDACode仍处于早期状态,预计会出现错误。如果遇到任何问题,请打开一个新的问题。 特征 速度:...
ida-cmake:IDA插件CMake构建脚本
05-10
该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件。 简单插件示例用法: 创建插件仓库 git init myplugin cd myplugin git submodule add ...
vmlinux-to-elf:通过提取内核符号表(kallsyms)从原始内核中恢复可完全分析的.ELF的工具
03-21
该工具允许从vmlinux / vmlinuz / bzImage / zImage内核映像(原始二进制Blob或已存在但已剥离的.ELF文件)中获取具有可恢复功能和可变符号的完全可分析的.ELF文件。 为此,它将在内核中扫描内核符号表( ),这是...
使用IDAgdb调试虚拟机中的Linux内核
瞎几把学
03-23 3084
从百度文库中看到这个文章,感觉不错,正好用的上,文库的连接为。 http://wenku.baidu.com/view/6c2decbac77da26925c5b0f5.html 其中比较重要的是虚拟机的vmx文件中添加如下几行文字 debugStub.listen.guest32 = "TRUE"    debugStub.hideBreakpoints= "TRUE"
ida如何识别linux内核函数,如何识别IDA反汇编中动态链接库中的函数
weixin_39968852的博客
05-03 373
在使用IDA静态反汇编时,如果正在逆向的文件中有动态链接库函数(比如调用了程序自定义so库中的函数),IDA只会显示一个地址,跟进去会发现是延迟绑定中关于plt的代码,无法知道具体调用了哪个函数,对于逆向起来很是麻烦,本文介绍如何识别这样的函数。按道理讲,虽然不能动态调试静态分析不能看到运行时绑定的地址,但是具体动态链接的过程一定也是根据文件中的信息,所以静态也一定可以知道调用的是哪个函数,但是...
linux 内核调试方法总结,【转】Linux内核调试方法总结
weixin_34096885的博客
05-14 634
#cat /proc/kallsymsc0100240 T _stextc0100240 t run_init_processc0100240 T stextc0100269 t init…3 Kdump3.1 Kdump 的基本概念3.1.1 什么是 kexec ?Kexec 是实现 kdump 机制的关键,它包括 2 个组成部分:一是内核空间的...
内核学习——异常处理之 CPU/模拟异常的记录及初步分发
q1uTruth的博客
08-12 428
异常的处理流程 异常记录,异常分发,异常处理 异常的分类 1)CPU检测到的异常(例:除零) 2)软件模拟产生的异常(例:try catch) 一、CPU检测到的异常的处理流程 CPU检测到异常(例:除零)➡查IDT表,执行中断处理函数 ➡CommonDispatch 把异常相关的信息存到了EXCEPTION_RECORD结构体里,并未处理异常➡ KiDispatchException分发异常,寻...
IDA逆向linux内核导入kallsyms
mengxp的博客
07-28 907
准备kallsyms.txt文件 cat /proc/kallsyms > kallsyms.txt 80008200 T asm_do_IRQ 80008200 T _stext 80008200 T __exception_text_start 80008204 T do_undefinstr 80008354 T do_IPI 80008358 T do_DataAbort 800083f0 T do_PrefetchAbort 80008488 t gic_handle_irq 80008
Linux内核调试最优方法
qonsnow的博客
11-03 296
Linux内核调试躺坑 偶尔要分析一下Linux内核内核探针有时并不能满足需要(例如调试分析CVE)。采用VM虚拟机通过管道加IDA双机调试很卡,调试体验很差。用KDB也是卡,还有可能断点无效,死机也是常事。Visual Studio调试内核依然不方便,重点是卡慢。最终还是学习Google使用QEMU调试内核。(网上一大推调试文章,能用好用的并不多,我跟着一路折腾过来真把我弄得够呛。给后来人一个忠告,老老实实在开启虚拟化的Linux虚拟机中使用QEMU+gdb) 靠谱点的资料 多读牛逼人的一手资料,官方文
七、IDA静态分析MIPS-Linux程序环境搭建
wanhex的博客
03-06 2267
注: 若访问github或Google较慢,可使用加速器: http://91tianlu.date/aff.php?aff=3468 IDA是一款强大的反汇编和动态调试工具,能够辅助研究人员进行静态分析和动态调试。书中通过开源工具将Windows中的IDA工具运行在了Linux系统中。我也多次尝试使用开源工具wine来安装IDA的不同版本,但由于各种原因,导致安装成功率并不高,总是出现各种各样...
linux逆向工具 ida,逆向.面向监狱编程(一)工具篇:初识IDA
weixin_32258691的博客
05-09 390
前言从今年年前开始,由于个人学习项目需要反汇编逆向程序,第一次了解接触逆向工具,基本就是现学现做。现在已过半年,项目也已有成果,抽空将这半年经验整理记录,希望对自己日后工作有所启迪与帮助。在下不才,不敢说能使各位受益,仅共勉,若有错误不当之处还望海涵、指出。一、IDA简介IDA(Interactive Disassembler Professional)是一款交互式静态反汇编工具,它是可编程的,可...
ida调试linux程序,MAC使用IDA PRO远程调试LINUX程序
weixin_30764401的博客
05-01 578
1 背景在学习Linux系统上的一些漏洞知识的时候,往往需要进行“实地测试”,但是在Linux系统上进行调试并不太方便,因为LINUX自带的GDB调试工具真的不太人性化,即使有GDBTUI之类的“伪图形界面调试器”,也跟IDA PRO之类的调试器相差甚远。这里又遇到另一个问题了——LINUX平台的IDA PRO不太好找。综上,对于初学者而言最佳方案就是使用IDA PRO的远程调试功能!2 环境配置...
ida linux调试`
最新发布
10-14
IDA是一款非常强大的反汇编工具,它可以在Windows、Linux和macOS等操作系统上运行。在Linux上使用IDA进行调试,可以通过以下步骤实现: 1. 打开IDA并加载要调试的二进制文件。 2. 在IDA中选择“Debugger”菜单,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值