逆向基础——IDA伪代码&&ODA快捷键&&C查缺补漏

最新推荐文章于 2024-09-03 14:35:44 发布
最新推荐文章于 2024-09-03 14:35:44 发布
阅读量5k 收藏 9
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39194641/article/details/90084760
版权

    入坑逆向已经快小半个月了,不得不说入门逆向工程真的难,总结一下小收获。

一 IDA中的伪代码

    在解答reversing.kr中的easykengen的逆向时,IDA反汇编中有一段语句如下:

    sprintf(&v13,aS02x,&v13,*(&input + v3++) ^ *(&v6 + i));

    代码中二个点:

 

    C指针查缺补漏: 

    1.printf细节:

     printf("a=%d",a);其中,a=%d是格式控制,后面的a是输出列表。%d是格式说明,其中%是引导符,d是格式字符。

    逆向反汇编常用格式字符为o:无符号八进制u,X/x十六进制,u无符号十进制,d带符号十进制(正数不输出符号),s:字符串,c:以字符形式输出,只输出一个字符。

    格式控制中格式字符的个数与输出列表个数相等,且位置一一对应。

    2.指针:

    计算机对所有存储单元进行统一编号,每个存储单元都有一个唯一的编号,称为该存储单元的地址编码。   ,计算机内存地址编码是线性的

    一个数据占据的若干存储单元中的第一个单元地址称为该数据的地址。同时程序运行时所占用的存储单元是排他性的,一旦被占用则不润许在存储其他内容,程序运行结束释放空间。

    &是取地址符号,适用于任何类型的变量,返回值是一个地址,常用十六进制数表示。

    *是指针运算符。(int *p = &x;) ==  (int *p; p = &x;),   p是指针变量

    &*p == p(地址)    而*&a == a(任何变量)

    第一个数组元素的地址称为首地址,数组名被定义为&数组名[0]。对于数组a,a+i就是&a[i],所以a[i]可以用*(a+i)表示。

  1. sprintf(*char *str, const char *format,)发送格式化输出到指针str所指向的字符串。
  2. 伪代码中的aS02x等价于%s%02x,将长度为2的十六进制发送到&v13,即将字符的ASCII送入v13,长度不够用0填充,如果时%2x的话就是长度不够用空格填充。

二 OD

    

 OD常用快捷键:

    F2:设置断点。(ctrl)F7:单步步入。(ctrl)F8:单步步过。 F4:运行到光标。 F9:运行到断点。Ctrl+F9:从F7步入的代码段中返回之前的代码段。

 

壊壊的诱惑你
关注
专栏目录
[Android]安全第一步,使用IDA初步调试一个c/c++的exe文件
bluewindtalker的专栏
11-23 4482
Android安全进阶第一步,了解IDA的基本用法。为以后android安全加固做准备
调试实战 | 通过转储文件分析程序无响应之使用 windbg + IDA 逆向
12-21 1100
程序无响应,而且cpu占用率很低,可以考虑死锁的可能性。本文是在实际开发过程中遇到的一个很典型的死锁。而且排查过程很有意思,既使用了windbg的内存搜索功能,又利用了IDA强大的逆向能力,尤其是F5,太香了。
从0开始学逆向 第二期:最喜欢的IDA
最新发布
CHTXRT的博客
09-03 1287
主要讲了讲IDA的一些基础用法
(Mac)虚拟机中的IDA逆向伪代码
Lyn_zhu的博客
11-01 1168
windows系统中IDA逆向伪代码是使用了快捷键F5,可是在mac的虚拟机里却没有用,在网上也没有找到解决办法,自己摸索了一下,浅浅记录一下~选中想要逆向编译的函数,view->Open subviews->Decompile a function。(有一个小问题,就是字太小了,眼睛都要看瞎啦,评论区有没有大神可以帮忙解决一下这个问题👀)
IDA伪代码C语言复现调试(mqtt client)
qq_33163046的博客
12-10 6536
IDA伪代码分析 mqtt client在connect Broker成功后往往紧接着subscribe topics。 IDA反编译了一段mqtt client,找到subscribe部分的伪代码,力图复现代码里真实subscribe内容。 IDA 相关内容如下 粗略分析可以知道,这里要订阅 0x18(24)个topic。topic由8个“基本topic体”追加附上特定字符串构成。 从第258和...
IDA-F5查看伪代码报错:Decompilation failure: 40077D: cloud: no response
book_stand的博客
04-20 662
今天在进行逆向的时候发现,F5查看伪代码给我报错了,之前都没出现过这种情况。右键在记事本中编辑,找到MAX_FUNCSIZE,将64改为1024。通常IDA反编译函数时会有大小限制,超过这个大小就会反编译失败。既然是响应出问题的话,先找到IDA的安装目录,再找到里面的。保存后再重新打开IDA,问题就解决了。cfg文件夹下的hexray.cfg。翻译后是:cloud:没有响应。
利用IDA学习将ARM汇编翻译成伪代码
AndroidDeveloper的专栏
05-13 3668
首先要熟悉ARM汇编指令,这是基础条件。其次是F5可以看伪代码。这个时候在伪代码处,右键copy to assemble就会出现伪代码和汇编的对照表。
ida proc语言代码优化,ida pro so文件f5后c后的 jni函数优化
weixin_42502537的博客
05-23 865
ida pro so文件f5后c后的 jni函数优化自己写的原创工具生成的c代码进行处理以下是部分结果的例子int __fastcall Java_com_esun_util_libc_JNINativeInterface_getRewardOptimizeResult(int a1, int a2, int a3, int a4, int a5, int a6){int v6; // r4@...
逆向分析工具——IDA初学笔记
m0_63606191的博客
01-22 3218
是 是
取证专栏——手机&APK&二进制
weixin_63576152的博客
09-06 1784
(5)IDA解析后的数据在伪代码界面是小端序存储的,如果看到一长串16进制数据,那么很可能是多个16进制数据合在了一起,并且顺序是反的,比如v1 = 0xE45D8CAB,真实的数据应该是v1[0] = 0xAB,v1[1] = 0x8C,v1[2] = 0x5D,v1[3] = 0xE4。①普通恶意:比如给某个路径下的文件进行字节加密,导致文件不可正常显示,这也是最经典的,对于这类恶意程序,说到底就是二进制修改,写个解密脚本就能恢复,关键就是找加密逻辑,简单的byte[i]++也有,难的密上加密也有。
ida逆向c语言失败,IDA逆向代码 --- F5 反汇编识别错误的情况
weixin_39693438的博客
05-19 1288
场景:F5 之后的伪代码,变量直接被使用,没有被赋值,但是根据上下文,一定具有含义;例如:v3 = &v104 + 0x14 * (signed __int16)v29 - 0x442;// 这里的104 是什么??前面只有定义,没有被赋值,而且不属于数组中的一部分查看对应Arm指令:.text:9FAADCD8 MOVS R6, #0x50 ;...
51反汇编c51汇编伪代码
07-22
不同汇编程序允许的指令并不相同,以下所述的指令仅适用于MASM51系统,但一些基本的指令在大部份汇编程序中都能使用,当使用其它的汇编程序版本时,只要注意一下它们之间的区别就可以了。MASM51中可用的指令有
安卓逆向——Ida 动态调试
含笑
04-22 621
Ida 动态调试 本文的使用的IDA_Pro_v7.0_Portable 版本,下面介绍一下动态调试so文件的流程: 1. 在IDA的安装路径中找到android_server文件 # 查看手机型号 arm64-v8a adb shell getprop ro.product.cpu.abi 2. 将android_server拷贝到手机的/data/local/tmp目录下面 # 进入对应的文件夹,把文件push到手机 adb push android_server64 ...
【Android安全】IDA 处理伪代码JUMPOUT指令(Undefine + Create Function)
Juruo@Security
04-15 9561
【Android安全】IDA处理JUMPOUT(Undefine + Create Function)
ida pro 查看简易 Android .so 文件伪代码
vistaup的博客
03-12 839
当然,这个是最简单的so的结构,稍微复杂点的可能就搜索不到JAVA,后面再来填坑。注意,这篇只是我的简单记录,要学习详细使用,请参考其他大佬的。在函数窗口按 Ctrl + F 搜索 “JAVA” ,双击结果。点击 F5 ,借助F5 插件查看伪代码。直接把需要的文件拖到 IDA 中。让我们打开神器 IDA
从java层调用native层的函数,在ida中看C代码更直观的方法
灯、等灯等灯...
11-10 2377
在EXPORT栏下搜索:java_xxxxxxx   双击进入此函数,按下键盘F5,得到C代码   前面两个参数是打包成so时自带的,从第三个参数开始才是我们要的参数 由于函数体内有太多不相关的转换函数使我们容易看花眼,这时候可以使用一个文件可以掩饰掉这些不相关的东西,步骤如下: 1.   2. 需要一个头文件,这个文件后面会给出下载地址,   3.提
IDA 逆向代码---小技巧
生命不息 折腾不止
09-07 2219
1、识别局部变量。 反汇编出来的伪代码中,后面又注释的 rX@X的就是局部变量; int v7_stepID; // r0@1 int v8_ret; // r4@1 局部变量可以直接使用,IDA一般不会识别错误; 2、越界判断代码逆向时不用管。 unsigned __int8 v13_recbuf[1024]; // [sp...
IDA按F5不能出现伪代码
m0_63790435的博客
11-04 2574
解决方法:先右键点击“代码”,再右键点击“创建函数”,在按 F5 就可以查看伪代码了。
【iOS逆向与安全】越狱检测与过检测附ida伪代码
m0_59598029的博客
01-28 2264
首先在网上查找一些检测代码放入项目运行,用 ida 打开后 F5 得到下面的用 frida hookhook stathook md5fishhook下面是网上找的源码接下来我将给各位同学划分一张学习计划表!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值