IDA使用技巧随记

已于 2023-04-07 17:33:34 修改
阅读量909 收藏
点赞数
文章标签: c++
于 2023-03-21 16:48:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43821643/article/details/129691783
版权

1,让IDA显示代码字节

菜单栏->Options->General->Disassembly->Display disassambly line parts->number ofo opcode bytes(non-graph)->填入每行显示的字节数即可;
在这里插入图片描述

效果如下如所示:
在这里插入图片描述

2,通过IDA中的偏移地址找到PE文件中偏移地址

步骤一

将界面跳转到汇编代码最开始的位置,记住这三个基数;
Imagebase = 0x10000000 //映射地址
Virtual address = 0x00001000 //虚拟内存地址
Offset to raw data for section: 0x00000400 //文件偏移地址
在这里插入图片描述

步骤二

找到任意一个你想要找的地址,设为src = 0x10001064;
设文件中对应代码字节的偏移为des;
在这里插入图片描述

步骤三

计算公式:src - Imagebase - Virtual address = des - Offset to raw data for section
计算原理:文件偏移与虚拟内存偏移一致;
代入公式:0x10001064 - 0x10000000 - 0x00001000 = des - 0x00000400
最后得到des = 0x00000464;
如下图所示,使用二进制形式打开PE文件,找到对应的代码字节;
在这里插入图片描述

修道-0323
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ctfshow pwn2
qq_39980610的博客
08-19 738
pwn2
读<<IDA pro权威指南>>之动态计算目标地址
chengkou8481的博客
03-29 264
<<IDA pro权威指南>> p348页,另一种技巧常用于面向Windows的恶意软件中,它配置一个异常处理程序,并有意触发一个异常,然后在处理异常时操纵进程的寄存器状态。 下面的例子被tElock反逆向工程工具用于隐藏程序的真实控制流。 00535FC2...
IDA 常用按键 和 gdb 常用命令
weixin_43891422的博客
08-07 653
IDA 常用按键 和 gdb 常用命令 IDA 常用按键 : 显示伪C代码按F5,按TAB返回显示汇编。 按G快速跳转到目标地址。 按Ctrl + s显示内存分段。 按空格以内存形式显示,再按空格返回显示汇编。 查找程序中的字符串,按shift + F12显示字符串窗口。 查找对应字符串被函数引用,选中字符串对应的地址,按X,或直接点选字符串后的灰色信息。 gdb 常用命令 : 运行程序(run):r 打断点(break): 按地址打:b *[address] 按函数打:b [function
堆栈认知——逆向IDA工具的基本使用_ida 8
最新发布
u010508150的博客
04-06 1039
图形界面与文件界面的切换使用空格键你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!如果你觉得这些内容对你有帮助,可以+V:Vip1104z获取!!!(备注:嵌入式)你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
【记录】IDA|Ollydbg|两种软件中查看指令在原二进制文件中的位置,及查看原二进制文件位置对应的反汇编指令的方式
qq_46106285的博客
04-10 2250
不需要下载插件,查看IDA和Ollydbg指令在二进制文件中对应的地址
IDA调试干货
box_kun的博客
03-02 2842
1、 IDA中各种命名前缀(sub、loc、offset等)的含义 IDA自动生成假名字。他们用于表示子函数,程序地址和数据。根据不同的类型和值假名字有不同前缀 sub_ 指令和子函数起点 locret_ 返回指令 loc_ 指令 off_ 数据,包含偏移量 seg_ 数据,包含段地址值 asc_ 数据,ASCII字符串 byte_ 数据,字节(或字节数组) word_ 数据,16位数据(或字数组) dword_ 数据,32位数据(或双字数组) qword_ 数据,64位数据(或4字数组) f.
IDA基本使用
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-19 2万+
IDA基本使用,零基础,新手友好,重点使用摘要。ida文件加载,IDA桌面简介,交叉引用,IDA动态调试,IDA脚本
给自己的ida使用ida使用
01-19
给自己的ida使用ida使用
IDA使用教程
03-16
IDA使用教程 IDA一日速成记。
每天一个IDA技巧(十一)IDA脚本基础和IDC1
08-03
返回值处理与C语言一致,使用return关键字,但函数可以根据执行路径返回不同数据类型。IDA 5.6后,函数可以作为参数和返回值进行传递。 IDC对象系统没有明确的访问权限控制,所有类成员默认都是公共的。创建类数据...
每天一个IDA技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
每天一个IDA技巧(五)C++基本特性1
08-03
使⽤用虚表指针导致的⼀一个后果是,在操纵 IDA 中的类时,你必须考虑到虚表指针。。 对象的⽣生命周期了了解对象的构建和撤销机制,有助于明确对象的层次结构和嵌套对象关系,并有助于迅速确定类构造函数和析构...
ida显示地址
weixin_45780275的博客
11-10 3911
ida显示地址 显示这样是因为用的IDA Pro (64-bit)
最强辅助!IDA 辅助工具Karta——二进制文件中搜索开源代码
Appleteachers的博客
05-11 1464
介绍 “ Karta”是IDA的python插件,其功能是在已经编译过的二进制文件中搜索是否使用了开源的代码。该插件是为了匹配大体积二进制文件中的开放源代码库的开源代码(通常是查找固件)。对于每天处理固件的人来说,反复的执行net-snmp显然是在浪费时间。所以需要一个工具来识别二进制文件所使用的开源,并在IDA中自动匹配。 这个插件的初衷是加快匹配的过程。用几个小时去匹配一个包含300个函数的库是很低效的一件事,更何况实际工作过程中逆向的工程会远大于此,比如超过100,000个函数的体积。当然,结合逆向工
使用idea查看源码
zhang__1234的博客
01-30 6524
使用idea查看源码 以查看包装类Integer为例 第一种方法: 选中Integer(你要查看源码的目标)然后ctrl+b进入 第二种方法: 设计断点,点击那个红色标记查看源码 第三种方法: 点击左下角的Structure找到Integer即可 ...
1.IDA-基本操作(改变Image Base地址、打开、保存IDA的不同方式)
hgy413的专栏
09-01 1万+
启动                启动IDA,会出现以下对话框: New:启动一个标准的File Open对话框,让你选择 Go:打开一个空白工作区,这时只需把二进制文件直接拖入到IDA工作区 Previous:打开最近用过的文件中一个   加载文件                    拖入文件后,会弹出一个加载对话框,如果未识别文件,则默认为Binary File为唯一选项
IDA显示机器码
NTooL的专栏
06-27 6338
菜单栏-->选项-->常规-->反汇编-->机器码字节数,填入一个数就OK了-->确定
20.IDA-修改二进制文件、显示修改点
热门推荐
hgy413的专栏
02-10 2万+
1.功能选项Edit▶Patch Program菜单是GUI版本的IDA的一项隐藏功能,用户需要编辑idagui.cfg配置文件才能激活该菜单 可用选项如图所示 1.1.Change byte用于编辑IDA数据库中的字节值。相关的字节编辑对话框如图所示 这个对话框显示了从光标所在位置开始的16个字节的值。你可以更改显示的部分或全部字节。 同时,Address表示了虚拟地址,File of
4.IDA-导航(跳转到地址、导航按钮、栈帧、调用约定、局部变量布局、IDA的栈视图)
hgy413的专栏
11-07 7757
跳转到地址 使用Jump▶Jump to Address命令或在处于活动状态的反汇编窗口中按下热键G,均可以打开Jump to Address对话框,如果把这个对话框看成Go对话框,可能有助于你记住相关的热键。 IDA会记住你在这个对话框中输入的值,并通过一个下拉列表显示,以方便你随后使用 导航按钮(导航历史) 导航按钮,每个按钮旁边还有一个历史记录下拉列表,你
iDA Pro使用教程
05-04
iDA Pro 是一款非常强大的反汇编工具,它可以帮助用户对二进制程序进行反汇编、分析和修改。下面是使用 iDA Pro 的一些基本步骤和技巧。 1. 安装 iDA Pro 首先,你需要从 iDA Pro 官网(https://www.hex-rays.com/products/ida/)下载并安装该软件。iDA Pro 有免费版和付费版,免费版的功能相对较弱,付费版则功能更加完善。安装完成后,你可以打开 iDA Pro,开始使用它的功能。 2. 打开二进制文件 在 iDA Pro 中,你需要打开一个二进制文件,才能进行反汇编和分析。你可以通过菜单栏的“File”选项来打开一个二进制文件。iDA Pro 支持多种不同的文件格式,例如 ELF、PE、Mach-O 等。选择正确的文件格式很重要,否则会导致反汇编失败。 3. 分析程序结构 在打开一个二进制文件后,iDA Pro 会自动对程序进行反汇编,并展示反汇编结果。你可以在左侧的“Functions”窗口中查看程序中的函数列表,或者在右侧的“Disassembly”窗口中查看反汇编代码。iDA Pro 还支持对程序的控制流进行分析,你可以通过菜单栏的“View”选项来查看程序的控制流图。 4. 查找漏洞 通过分析程序结构,你可以尝试查找程序中的漏洞。例如,你可以查看程序中的函数调用和内存访问,寻找可能存在的缓冲区溢出、格式化字符串漏洞等。iDA Pro 还支持对程序中的字符串和常量进行搜索,你可以利用这个功能来查找可能存在的敏感信息、密码等。 5. 编辑程序 在查找漏洞后,你可能需要修改程序来修复漏洞或者实现其他目的。iDA Pro 支持对程序进行编辑,你可以在右侧的“Disassembly”窗口中直接修改反汇编代码,或者使用 iDA Pro 提供的高级编辑功能来修改程序。注意,修改程序可能会导致程序的崩溃或者其他不可预测的结果,所以一定要谨慎操作。 以上是使用 iDA Pro 的一些基本步骤和技巧iDA Pro 是一款非常强大的工具,可以帮助你分析和修改二进制程序,但需要一定的反汇编和程序分析经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

修道-0323

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值