![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
IDA
kernweak
日子越来越有判头了
展开
-
《IDA权威指南》复习笔记
几种调用约定区别_cdecl是C的调用约定,从右向左参数依次入栈,调用者平衡堆栈。所以函数外add+x平衡堆栈_stdcall是微软的调用约定,从右向左参数依次入栈,被调用者平衡堆栈,所以平衡堆栈为retXXXfastcall是stdcall变体,x86下前两个参数用寄存器ecx,edx,后面跟_stdcall一致。C++ 调用约定,非静态成员函数与标准函数不同,需要this指针,指向被调用的的对象,这个由被调用方提供给,thiscall为MS提供的C++ 调用约定,被调用者平衡堆栈,this指针在原创 2020-08-24 21:25:26 · 2449 阅读 · 0 评论 -
《ida主流插件使用》(2)windows下stack_strings插件使用
FireEye公司发布了一些逆向插件,即stack_strings插件,该插件是栈字符串识别插件,可以自动识别栈上局部变量为字符串的插件,字符串形式如下,并自动的加上注释。项目主页地址: https://github.com/fireeye/flare-ida 该项目有4个插件 本文介绍 stack_strings插件首先项目使用了vivisect模块,所以在使用该插件之前需要...原创 2020-04-12 21:57:45 · 712 阅读 · 0 评论 -
《ida主流插件使用》(1)windows下labeless插件使用
以下介绍是github官方介绍的机翻Labeless是一个多用途的IDA Pro插件系统,用于标签/注释与调试器后端同步,具有复杂的内存转储和交互式Python脚本功能。剩下详细介绍可以去github看。如果要同时使用x86和x86_64目标,则应对每个python发行版执行以下步骤。设置Python 2.7(x86 / x86_64) 将deploy目录复制到要在其中使用调试器...原创 2020-03-31 18:28:37 · 1136 阅读 · 0 评论 -
关于IDA远程调试linux的elf文件
前几天遇到一个问题在分析代码时,样本是替换了Linux的命令文件,然后想要远程调试虚拟机上的elf样本,开始是用的Remote Linux debugger方式,结果attach时候报错:The debugger could not attach to the selected process.This can perhaps indicate the process was just t...原创 2020-01-06 10:44:12 · 1107 阅读 · 0 评论 -
__OFSUB__宏
生成(x-y)的溢出标志定义如下:// overflow flag of subtraction (x-y)template<class T, class U> int8 __OFSUB__(T x, U y){ if ( sizeof(T) < sizeof(U) ) { U x2 = x; int8 sx = __SETS__(x2);...原创 2019-12-31 14:36:52 · 1729 阅读 · 1 评论 -
IDC脚本编写demo
为了自动到被调试点,不用每次手动跟过去,所以使用脚本,下面是使用例子,以后的改改就好// @file oci_test_on_vs2010.idc// @brief debug for oci_test_on_vs2010.exe#include <idc.idc>#define PROG_FOR_DEBUG "oci_test_on_vs2010.exe"#defi...原创 2019-11-25 13:30:05 · 851 阅读 · 0 评论 -
.sig文件制作
找到xxx.lib,然后在IDA目录找到flair68.zip(我这里是ida6.8)然后第一步:使用pcf生成对应静态库的pat文件pcf 文件名 生成的文件名.pat第二步:使用sigmake,将pat文件转为sig文件sigmake pat文件 生成的sig文件.sig将exc文件中的前4行删除再次执行命令sigmake pat文件 生成的sig文件.s...原创 2019-08-29 16:07:15 · 2498 阅读 · 0 评论 -
IDA6.8显示中文字符串
IDA6.8里中文字符串显示乱码,让其显示正常字符串如下找到IDA安装路径下的cfg\ida.cfg文件,记事本打开,将ida.cfg中cpp866 version的AsciiStringChars注释掉,把full version的AsciiStringChars取消注释// (cp866 version)//AsciiStringChars =// "\r\n\a\v...原创 2019-08-21 16:59:47 · 852 阅读 · 0 评论 -
IDA相关功能和快捷键
Windows-》Reset/Save Desktop恢复/保存窗口和GUI元素到默认位置当IDA Pro无法识别出一个函数,如果发生了这种情况,按P键创建一个函数,也可能无法识别出基于EBP的一个栈帧,并且指令mov [ebp-0Ch],eax和push dword ptr[ebp-010h]可能不是按便于理解的记号出现。多数情况下可以按Alt+p来修正,选择BP Based Frame,然...原创 2019-08-22 13:20:37 · 667 阅读 · 0 评论 -
APK调试
源码的情况下,对APK的动态调试主要分为两种:smali汇编动态调试arm汇编动态调试Smali汇编动态调试对smali汇编的动态调试主要分为两种:使用ida进行调试使用IDE + apktool进行调试Eclipse + apktoolAndroid studio + apktoolIdea + apktool…使用jeb2.2以后版本调试IDA 调试smali...原创 2019-06-22 18:08:31 · 6197 阅读 · 0 评论 -
IDA快捷方式
N:重命名地址符号U:代码转换为数据C:数据到代码;/:加注释G:跳转到指定位置ESC/CTRL+ENTER:导航后退/前进D:对数据db/dw/dd之间进行切换ALT+T:string searchALT+B: binary searchA:将选择的范围转化为字符串View --> OpenSubviews --> Local Types-->INSER...原创 2019-02-21 21:48:57 · 375 阅读 · 0 评论