对 IDA 结构体操作的一些理解

已于 2022-05-20 09:29:05 修改
阅读量509 收藏 2
点赞数 1
分类专栏: 笔记 CTF 文章标签: ctf
于 2022-05-20 09:27:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/124865760
版权
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
笔记
27 篇文章 25 订阅
订阅专栏

对 IDA 结构体操作的一些理解

前言:
刚学逆向时把 IDA pro 权威指南过了一遍,但读得并不是很细,满足日常使用还是没问题的,但是对于一些细节的操作或提高效率的方法倒是没能掌握。

比如 IDA 对结构体和数组的操作,看过,但是不记得了,就算记得也不会用,或者根本不知道什么时候用,在哪用。虽然凭借着最基本的操作依旧能分析得出来,但是效率却大打折扣。

有一天从 水番正文 的视频中得到启发,发现应用 IDA 结构体后能使代码可读性大大提高,便回去精读了 数据类型和数据结构 这一章,并整理出自己的 IDA 的数据结构笔记,便有了复现的这篇博客,还是那句话,菜就多学习!
.
.
首先附上要分析的代码:(示例出自某次比赛逆向题)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
.
.
特别的,对于一些一开始就没有适合结构体可以应用的结构我们要自己创建结构体才行:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

沐一 · 林
关注
专栏目录
使用IDA 分析高级数据结构
eqera的专栏
11-29 2万+
使用 IDA 反汇编时,一些数据和操作数的处理方式可能并不准确。IDA 允许我们手动去修 改这些数据的类型和定义,我们甚至可以使用类似高级语言的数据结构。 一个C 语言程序 为了介绍IDA 的数据分析处理功能,我们先看一个C 语言编写的使用特殊数据类型和结构 的小程序: #include #include // our structures // ==============
每天一个IDA小技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
c#结构
记录点滴
09-23 504
结构可以帮助我们一次性声明多个不同类型的变量 语法: [ public ] struct 结构名 { _成员; // 通常称为字段 ··· ··· } 定义的位置: 与枚举类型enum一样,通常定义在命名空间下方,类的上方: 如: 下边小练习中,把结构与枚举相结合,在结构中,通过枚举来定义性别: namespace day_1 { //定义枚举 public enum Sex { fameil, meil } //.
IDA 结构体
weixin_30481087的博客
03-13 456
1.导入结构体文件 2.右键,定义结构体类型,之后就可以用 alt + q ,将变量为结构体类型 (第一次不能直接 alt + q,应该 shift+F9 -> insert -> 点击 Add standard structure,将导入的结构体添加到结构体类型,然后既可以alt + q 了。) 3.快捷键t, 解析变量为结构体成员 转载于:https://www.cnblo...
IDA PRO中汇编结构体识别
不会写代码的丝丽
07-30 1371
从上图可知栈区临时定义的变量会在EBP之下,传入的参数会在EBP之上。EBP-xxx可以得到临时变量,而EBP+可以得到传入参数等。首先我们注意到个细节栈区有两个变量默认名称分别为var_3fc和ArgList刚好相差508个字节。而这个字节大小正好是我们定义。我们打开IDAPRO的结构体视图按下insert键插入一个新的自定义结构体。进行加减得到,所以这两个数都是本地变量,而不是函数调用传入的。我们首先把一些call调用的函数名称加上。在上面右键可以添加相对应字段。提示都是负数并且都是基于。...
使用IDA分析高级数据结构
11-15
详细介绍了如何使用IDA工具进行各种高级数据结构的准确分析及观察方法,并有各种实例帮助读者进行理解
IDA的 Struceures 结构体窗口
最新发布
06-12
IDA的Structures窗口是一个用于查看程序文件结构体的窗口。在程序中,结构体是一种将不同数据类型组合在一起形成的自定义数据类型。IDA的Structures窗口可以显示程序文件中定义的所有结构体及其成员变量,包括名称、...
每天一个IDA小技巧(三)全局、栈和堆分配的数组和结构体1
08-03
在计算机编程中,数组是一种基本的数据结构,它包含相同类型的数据元素,这些元素在内存中是连续存储的。数组的大小可以通过元素数量乘以...在IDA等逆向工程工具中,这些概念可以帮助我们更好地分析和理解程序的行为。
IDA从入门到理解
yang7950000的博客
05-12 2683
IDA从入门到理解 IDA对于各位师傅应该无需简介了,如果写的不对的地方,还望师傅们多多包涵。 讲解的时候会涉及到笔者在学习和使用时候的理解。 启动界面介绍: NEW:打开IDA同时弹出对话框选择要打开的文件 Go:单独打开ida,打开界面将文件拖入 Previous,或者下面的列表项:快速打开之前的的文件 这里选择Go键,打开以后 把我们要分析的文件拖到ida即可 这里按我们的默认选项点击OK即可。 选择中可能需要理解的为: 1.Manual Load:基地址重定向,并且可以显示PE头部信息, 2.
IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜
09-19
1. **IDA界面与基本操作**:介绍IDA的主窗口,包括函数列表、内存映射、反汇编视图、图形化调用图等,以及如何启动一个新的分析项目,浏览和搜索代码。 2. **反汇编原理**:解释IDA如何将二进制指令转化为可读的...
IDA简易教程.pdf
06-11
本教程主要介绍了如何利用IDA来辅助识别各种类型的数据,包括基本数据类型、操作数格式、字符和字符串处理、数组、枚举类型、位域、结构体结构变量和数组、联合体、可变结构体结构体偏移、联合体偏移量、地址...
IDA逆向代码 --- 结构体分析与建立
生命不息 折腾不止
10-11 1833
结构体的创建首先要确定结构体的大小,主要是通过数据的使用来确定结构体的大小; IDA结构体成员一般出现在:类初始化的地方(XX.dll); 根据成员的多少,我们创建结构体的大小,注意虚表vt占4个字节;一般有三个地方有助于我们创建结构体:初始化函数成员列表、memcpy函数的使用、memset函数的使用、数据库字段; 在memcpy的参数中的size,结构体大小起码为size; 在...
基于LLVM编译器的IDA自动结构体分析插件
如鹿渴慕泉水的专栏
04-13 1172
引用 这篇文章旨在介绍一款对基于LLVM的retdec开源反编译器工具进行二次开发的IDA自动结构体识别插件实现原理分析 文章目录引用简介源码分析LLVM编译器简介Retdec源码分析Klee源码分析IDA插件开发分析工具安装方法工具使用介绍工具支持环境源代码编译方法工具使用效果分析之前分析之后完整流程相关引用参与贡献 简介 笔者在一款基于LLVM编译器架构的retdec开源反编译器工具的基础上,融合了klee符号执行工具,通过符号执行(Symbolic Execution)引擎动态模拟反编译后的llv
【逆向工具】IDA使用3-全局变量、数组、结构体
weixin_30492047的博客
03-28 1471
全局变量 测试代码 全局变量既可以是某对象函数创建,也可以是在本程序任何地方创建。全局变量是可以被本程序所有对象或函数引用。下面这段代码中将int、float、char变量定义在main函数之外。 // 变量.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" //全局变量 // 整型 int a_nNum = 22; // 浮点型 float ...
IDA 反编译之创建结构体分析调用的API某硬编码项
qq_33163046的博客
10-22 6035
在逆向分析某mqtt client软件的时候,由于调用了“Paho Asynchronous MQTT C Client Library”,为了分析获得某硬编码的API参数值,需要构造struct。下面是分析的过程
IDA系列--高级技巧--数据结构
Tasfa的博客
10-09 1290
当源码的函数中使用了结构体类型的变量时,反汇编代码中对于结构体中成员的获取往往都是通过一个`指针 + offset`来获取的。对于阅读源码静态分析极其麻烦,因此需要创建数据结构简化分析
IDA结构体操作
weixin_45799954的博客
03-19 2858
IDA结构体操作1.自定义ida结构体2.批量导入.h文件建立结构体 1.自定义ida结构体 1.打开view -> open subviews -> Structures - 2.定义结构体 Ins/Del : create/delete structure D/A/* : create structure member (data/ascii/array) N : rename structure or structure member U : delet
7.IDA-创建结构体
热门推荐
hgy413的专栏
12-26 1万+
结构体的一个显著特点在于,结构体中的数据字段是通过名称访问,而不是像数组那样通过索引访问。不好的是,字段名称被编译器转换成了数字偏移量。结果,在反汇编代码清单中,访问结构体字段的方式看起来与使用常量索引访问数组元素的方式极其相似。 注意的是,结构体中有个内存对齐规则,所以不要认为编译器会利用所需的最小空间来分配结构体。默认情况下,编译器会设法将结构体字段与内存地址对齐,以最有效地读取和写入这些字
【逆向】IDA使用技巧
Juruo@Security
04-22 4655
IDA使用技巧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值