初试IDA与gdb

最新推荐文章于 2023-07-10 17:01:30 发布
VIP文章 最新推荐文章于 2023-07-10 17:01:30 发布
阅读量1.8k 收藏 6
点赞数 5
文章标签: ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44222568/article/details/105303880
版权

pwn学习-任务一:

  1. 安装ida;
  2. 安装linux虚拟机,gdb插件,ROPgadget,ropper,pwntools;
  3. 熟悉ida的基本使用–完成sysmagic题目。
  4. 学会使用markdown格式

知识储备:

看书《IDA pro 权威指南》,了解反汇编过程的基础知识及IDA基本使用,在i春秋【CTF精品实战课程】进行IDA基本操作实验。
This is an IDA pro 使用初探. 简单笔记如下:

  1. 反汇编器:撤销汇编过程,因此,我们可以得到汇编语言形式的输出结果(以机器语言作为输入)。需要进行反汇编的常见情况包括以下几种。分析恶意软件;分析闭源软件的漏洞;分析闭源软件的互操作性;分析编译器生成的代码,以验证编译器的性能和准确性;在调试时显示程序指令。

  2. 基本反汇编算法:线性扫描(linear sweep)和递归下降
    (recursive descent)是两种最主要的反汇编算法。
    [1] 确定进行反汇编的代码区域。
    [2]知道指令的起始地址后,读取该地址(或文件偏移量)所包含的值,并执行一次表查找,将二进制操作码的值与它的汇编语言助记符对应起来。
    [3]获取指令并解码任何所需的操作数后,需要对它的汇编语言等价形式进行格式化,并将其在反汇编代码中输出。
    [4]输出一条指令后,继续反汇编下一条指令,并重复上述过程,直到反汇编完文件中的所有指令。

  3. 逆向与反汇编工具:绝不要根据文件的扩展名来确定文件的类型,这是最基本的原则。在脑子里建立起“文件扩展名并无实际意义”的印象.
    [1] 分类工具:

    file:试图通过检查文件中的某些特定字段来确认文件的类型。file 能够识别大量的文件格式,包括数种 ASCII文本文件、各种可执行文件和数据文件。file执行的幻数检查由幻数文件(magic file)所包含的规则控制.
PE Tools:一组用于分析 Windows 系统中正在运行的进程和可执行文件的工具。
PEiD:主要用于识别构建某一特定 Windows PE 二进制文件所使用的编译器,并确定任何用于模糊 Windows PE 二进制文件的工具。

    [2] 摘要工具:

    nm :列出目标文件每一个符号以及与符号有关的一些信息。大写字母表示全局符号,小写字母则表示局部符号。
ldd:(list dynamic dependencies),列举任何可执行文件所需的动态库。
objdump: 可用于显示以下与目标文件有关的信息(以及其他更多信息):节头部,程序文件每节的摘要信息;专用头部,程序内存分布信息,还有运行时加载器所需的其他信息,包括由 ldd 等工具生成的库列表;调试信息,提取出程序文件中的任何调试信息;符号信息,以类似 nm 的方式转储符号表信息;反汇编代码清单,objdump 对文件中标记为代码的部分执行线性扫描反汇编。
otool :可用于解析与 OS X Mach-O 二进制文件有关的信息,显示与文件的头部和符号表有关的信息,并对文件的代码部分进行反汇编。

    [3] 深度检测工具:

    strings: 提取文件中的字符串内容,通常,使用该工具不会受到文件格式的限制。
反汇编器:PE、ELF 和 MACH-O 文件可分别使用 dumpbin、objdump 和 otool 进行反汇编。两个用于 x86 指令集的流式反汇编器(stream disassembler):ndisasm 和 diStorm。

  4. IDA使用切记:
    [1] IDA 不提供撤销功能!也无法命令历史记录列表;

     几乎所有的操作都有其对应的菜单项、热键和工具栏按钮。
 IDA提供方便的、基于上下文的鼠标右键操作菜单。

    [2] IDA 对于二进制文件,IDA 不会进行任何初始反汇编,除非你至少确定了一个代码字节。

     它没有可用的文件头信息区分二进制文件中的代码字节和数据字节。这时,IDA 会提醒用户指定文件中的一个地址作为入口点,告诉 IDA 将这个地址的字节转换成代码(C 是用于强制 IDA 将字节作为代码处理的热键)。

    [3]IDB文件: 通常,人们说到 IDA 数据库时实际上指的是 IDB 文件。

     IDA 会创建一个数据库,其组件分别保存在 4 个文件中,这些文件的名称与选定的可执行文件的名称相同,扩展名分别为.id0、.id1、.nam 和.til
.id0 文件是一个二叉树形式的数据库。
.id1 文件包含描述每个程序字节的标记。
.nam 文件包含与 IDA 的 Names 窗口中显示的给定程序位置有关的索引信息。
.til 文件用于存储与一个给定数据库的本地类型定义有关的信息。
 在关闭当前项目时,这 4 个文件将被存档,还可以选择将它们压缩成一个 IDB文件。

    [4]加载器:根据程序文件头包含的信息,确定一个虚拟内存布局,并对数据库进行相应的配置
    [5]处理器:确定位于该地址的指令的类型、长度,以及从这个地址继续执行指令的位置(例如,是当前的指令序列还是分支)。

  5. pwntools:CTF框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。 ROPgadget.

  6. Ropper : 显示有关不同文件格式的二进制文件的信息 Ropper.

  7. 基本应用软件:静态分析:IDA Pro;动态调试:gdb;Exploit:pwntools(没用到)

  8. 逆向工程:比如你看到别人写的某个exe程序能够做出某种漂亮的动画效果,你通过反汇编、反编译和动态跟踪等方法,分析出其动画效果的实现过程,这种行为就是逆向工程;不仅仅是反编译,而且还要推倒出设计,并且文档化,逆向软件工程的目的是使软件得以维护。

  9. 参考博文IDA 快捷键.

解题过程:

<

最低0.47元/天 解锁文章
招财猫的小叮当
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IDA破解apk初试
10-23
IDA破解apk初试,对应我的博文,这里提供给大家分析测试使用。
【逆向学习记录】IDA&GDB工具使用技巧
卦星的专栏
06-07 1905
1 概述 最近在学习逆向的过程中,有时候IDA 的使用还是有不少技巧的,因为用的少,极其容易忘记,因此写一篇文章在此记录一下 2 IDA使用技巧 2.1 重构结构体 2.2 反调试绕过 ...
逆向工具IDAGDB使用
qq_42882717的博客
06-21 844
基本逆向工具IDAGDB的使用
gdbida调试笔记
BL_zshaom的博客
01-28 1530
一、ida ①函数窗口 (程序中所调用的函数) ②全局图形视图(可以看到大致形状和④窗口一样) ③消息输出窗口(idai进行的操作) ④代码区(以图形的方式展现每个函数之间的关系,双击函数可以看到函数对应的代码段) 反编译:ida的核心功能就是将汇编语言转换为伪代码 按下tab键(或者F5就可以看到我们熟悉的c语言伪代码) 空格键可以切换代码或者流程图(流程图下绿色代表成立红色代表不成立) 我们可以按下shift+F12打开字符串界面再使用ctrl+F启用查找字符串功能,就能在代码区找到对应的数据。也
IDA pro与x64dbg地址对齐
Hello_Ray的博客
01-10 3774
在使用IDA pro静态分析32位和64位程序时候,起始地址都是标准的从00400000、0000000140000000开始,这种基地址也是标准的地址。 然而在使用x64dbg的动态调试的时候,它的起始地址竟然不是从0x00400000或0x0000000140000000开始的。这对于使用IDA静态分析然后根据x64dbg动态调试的方式来说,是一个不小的困难。 因为IDA pro我分析好了程序结构,x64dbg中直接到这地方的反汇编代码,使用00000001400010FB作为地址是显然不行的。 我们
熟悉x64dbg调试器
2301_78834737的博客
07-08 1405
x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的反汇编调试软件之一。x64dbg和Ollydbg虽都是Windows在学习使用该工具之前第一步则是要安装软件,x64dbg调试器的安装很容易,读者只需要前往x64dbg。
use IDA debug x64 program
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
11-18 1691
前言昨天看见同学在用IDA调试x64, 他的计算机上不用额外设置,就可以调试x64程序. 而我的计算机上,使用和他一样的设置,就是不行… 今天正好学习了用IDA调试ARM程序,开窍了。用类似的步骤完成了用IDA调试x64程序.调试r3的x64程序可以使用windbgx64, x64dbg, IDA. x64dbg和OD用法一致,如果要修改内存,记录运行的中间结果和流程点, 用x64
IDApro和gdb的常见调试命令
询昵的博客
09-01 1982
一、IDApro常用命令
idaida64
04-10
打开里面对应的exe文件就可以运行
IDA逆向与反汇编教程
07-16
IDA逆向与反汇编教程视频 IDA逆向与反汇编教程视频
Python-gdbidaGDB会话与IDAPro的反汇编器之间的可视化桥梁
08-10
gdbida - GDB会话与IDA Pro的反汇编器之间的可视化桥梁
IDA与python接口
04-25
IDA与python接口,包括多个版本: idapython-1.2.0_ida5.4_py2.5_win32 idapython-1.5.2_ida6.1_py2.6_win32 idapython-1.5.3_ida6.2_py2.6_win32 idapython-1.5.3_ida6.2_py2.7_win32
IDA+GDB远程调试android平台 - Aarch64- elf64程序
yusakul的博客
04-20 1548
gdb配置 gdbgdbserver gdbserver的是在 android-ndk-r10e\prebuilt\android-arm\gdbserver 这个目录下 gdb 是在 android-ndk-r10e\toolchains\arm-linux-androideabi-4.9\prebuilt\windows-x86_64\bin 目录下,名称是arm-linux-android...
路由器+Gdbserver+IDA Pro远程调试
mmashroom的博客
10-16 2514
路由器下gdbserver+IDA pro远程调试趟雷
IDA使用 gdb使用
u014281987的博客
08-19 2103
IDA patch binary http://blog.csdn.net/hgy413/article/details/50650232
[Reverse]IDA使用保姆级指南
qq_24481913的博客
07-10 4891
IDA会出现两个图标,其中X64是用来反编译64位程序的,而X32是用来反编译32位程序的。常用的软件有exeinfope.exe或者使用IDA软件本身查看使用ida打开程序后会出现界面通常情况下,这个界面可以直接使用ok来继续,该界面主要是选择什么模式去解析该软件。IDA的主要界面如上所示左侧窗口为函数列表窗口,右侧窗口为IDA反汇编所得的汇编代码,最下侧窗口为文件在反汇编过程中的信息。
pwn学习任务系列之一
weixin_44121747的博客
05-05 184
pwn学习-任务一: 安装ida; 安装linux虚拟机,gdb插件,ROPgadget,ropper,pwntools; 熟悉ida的基本使用–完成sysmagic题目。 学会使用markdown。 —————————————————————————————————————————— 一、操作步骤 1、使用IDA打开sysmagic文件。 2.找到main函数并点击。 3.按f5进行反编译得...
IDA + GDBServer实现iPhone程序远程调试 (手机远程)
OSReact的专栏
07-12 1740
在早期的IDA中包含了一个iphoneserver的程序,这个程序就是配合IDA实现远程调试的。但是在最新版的IDA中这个东西已经不复存在了,因而下载的破解版的IDA中没有那个文件并不是被删除掉了,而是本来就没有,*^_^*。所以一直以来调试iPhone上的二进制程序只能悲催的使用ssh+gdb进行调试,虽然调试器的功能还算可以,但是每次调试都需要设置显示,只能使用命令进行控制,因而用起来还是不是
gdb调试,IDA pro分析
最新发布
04-09
GDB是一款常用的调试工具,用于在程序运行过程中进行调试和分析。它可以帮助开发人员定位和修复程序中的错误。 GDB的主要功能包括: 1. 设置断点:可以在程序的指定位置设置断点,当程序执行到该位置时会暂停执行,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值