作者:RootKiter
无符号表情况下的逆向
LINUX平台下的程序,可以通过strip程序进行精简,精简过的可执行文件会变小,同时又丝毫不影响执行效率。但这种情况会给程序逆向带来困扰。由于没有符号表的支持,所有函数在IDA中都会被显示为sub_xxx的形式,这会给逆向工程带来麻烦。
这里简单记录一下各常见平台下的系统调用识别方法。
常见平台的系统调用识别方法
无论哪个平台的系统调用都有两个关键点,一个是调用指令,另一个是调用号。
系统调用的具体功能由系统调用号制定,调用号和功能的对应关系要参考相关头文件。
我把目前所有能找到的系统调用有关的头文件,都放在了github 上的Reverse-bins项目中,供查阅。
X86
调用指令 INT 80h
寄存器 eax
参考表 x86系统调用表
1.png (32.15 KB, 下载次数: 72)
2016-12-21 10:33 上传
ARM
ARM 下的系统调用,有两种,一种是带参数的,另一种是指令调用时参数指定,分别如下:
寄存器指定
调用指令 SVC 0
寄存器 r7
参考表 ARM系统调用表
2.png (21.33 KB, 下载次数: 69)
2016-12-21 10:33 上传
指令内指定
调用指令 SVC 0xXXXXX
寄存器
参考表 ARM系统调用表
3.png (30.02 KB, 下载次数: 61)
2016-12-21 10:33 上传
MIPS
调用指令 syscall 0
寄存器 $v0
参考表 MIPS系统调用表
4.png (39.73 KB, 下载次数: 60)
2016-12-21 10:33 上传
PPC
调用指令 sc
寄存器 r0
参考表 PPC系统调用表
5.png (35.95 KB, 下载次数: 61)
2016-12-21 10:33 上传
SH4
调用指令 trapa #h’10
寄存器 r3
参考表 SH4系统调用表
6.png (40.52 KB, 下载次数: 71)
2016-12-21 10:33 上传
SPC
调用指令 ta 0x10
寄存器 %g1
参考表 SPC系统调用表
7.png (40.24 KB, 下载次数: 60)
2016-12-21 10:33 上传
结
这里记录了无符号表时,系统调用函数的识别方法,可用于LINUX下逆向参考。
这种对照关系也可以在IDA脚本进行实现,以节省逆向时间,在分析MIRAI样本的工作中,大概能节约30%的分析时间。
参考资料
1、x86系统调用表:
https://github.com/rootkiter/Reverse-bins/blob/master/syscall_header/i586_unistd_32.h
2、ARM系统调用表
https://github.com/rootkiter/Reverse-bins/blob/master/syscall_header/armv5l_unistd.h
3、MIPS系统调用表
https://github.com/rootkiter/Reverse-bins/blob/master/syscall_header/mips_unistd.h
4、PPC系统调用表
https://github.com/rootkiter/Reverse-bins/blob/master/syscall_header/powerpc-440fp_unistd.h
5、SH4系统调用表
https://github.com/rootkiter/Reverse-bins/blob/master/syscall_header/sh4_unistd_32.h
6、SPC系统调用表
https://github.com/rootkiter/Reverse-bins/blob/master/syscall_header/sparc_unistd.h
1825
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
