五、IDA静态分析常用

最新推荐文章于 2024-08-25 18:03:45 发布
最新推荐文章于 2024-08-25 18:03:45 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: ----IDA分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuqian123455/article/details/82317361
版权

5.1交叉参考

通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下:
.text:00401165 loc_401165: ;CODE XREF:sub_401120+B|j
这句CODE XREF:sub_401120+B|j 表示该调用地址是401120,
“j”表示跳转(jump)
“o”表示偏移值(offset)
“p”表示子程序(procedure)
双击这里或按回车键可以跳到调用该处的地方

快捷键: X

5.2参考重命名:N

 找到一段代码(一般为函数入口名),右键点击选择”Rename”可以将函数名称变成易懂的名称.

5.3 标签的用法

在菜单”Jump”中选择”Mark Position” 将会打开 标记当前位置功能,输入一个名称, 在菜单”Jump/Jump to marked position” 中或按”Ctrl+M”键双击想要调转的名称,便会到达制定的代码位置.

5.4 进制的转换

选择快捷键的#可以转换进制,选择”Toggle leading zeroes”功能是用0填补数据前的空位.

使用H进行十进制与十六进制之间的转换;

5.5 如何修改数据

在Hex View窗口下,
[S1]双击要修改的地方
[S2]使用F2捷方式修改当前字节
[S3]再按下F2快捷方式应用修改。

5.6如何改变执行流程 


[1]修改跳转指令。
[2]修改内存数据。
[3]IDA View中使用下面的命令Jump to IP,Set IP, Run to cursor。
保存修改
使用下面的主菜单命令,直接把修改保存到输入文件中,即可。
[IDA Main Menu]->[Edit]->[PatchProgram]->[Apply patches to input file…]。

5.7 标准的函数起始

在破解的时候,经常可以看见一个标准的函数起始代码:
push ebp ; 保存当前ebp
mov ebp,esp ; EBP设为当前堆栈指针
sub esp, xxx ; 预留xxx字节给函数临时变量.

碰到这样的直接P,可以解析成函数;

 

...........

eGanWo
关注
专栏目录
【愚公系列】2023年06月 移动安全之安卓逆向(IDA静态分析
时光隧道
06-11 4424
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。提示:以下是本篇文章正文内容,下面案例可供参考提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
使用IDA静态分析so文件
武天旭的博客
10-03 2288
一、使用IDA静态分析so文件 注意:IDA不支持修改代码,修改代码需要其他工具支持 使用NDK开发能够编译c/c++程序,最终生成so文件。而so文件是一个二进制文件,我们是无法直接分析so文件的,所以这里需要用到一个反编译工具IDA Pro。IDA Pro能够对so文件进行反汇编,从而将二进制代码转化为汇编语言,利用IDA Pro神奇的F5功能还能将汇编语言反编译成c/c++程序。
IDA静态分析
YJJYXM的博客
11-12 2085
往期推荐 IDA工具介绍 IDA工具安装、分享 ARM处理器寻址方式 ARM指令集 一:分析“getText”函数 1.首先任意打开一个函数,以getText函数为例,如下图所示。 2.双击打开该函数,开始分析汇编指令,箭头所指位置是指令的开始处,如下图所示。 .text:00001148 STMFD SP!,{R3-R5,LR} 压栈操作,把R3-R5,LR分别压到栈顶。 .text:0000114C MOV R5, R1 把R1赋值给R5。 .text:00001150 LDR R3
IDA使用教程
最新发布
qq_74041528的博客
08-25 3242
本文基于《IDA Pro权威指南(第2版)》整理的使用教程,供学习参考。
第三章——静态分析技术-IDA的简单操作
weixin_30340775的博客
11-22 262
注释:按“:”输入的注释只会在该处出现,按“;”的注释会在所有的交叉参考处出现 字符串搜索View->Open Subviews->String,此处字符串可与交叉引用结合使用 按ESC退后,Ctrl+Enter前进 重命名:N 标签的使用:菜单项Jump->Mark...
静态分析&&IDA
freedomDA的博客
03-30 1463
目标对象:2.crackme.exe 环境:windows 工具:IDA Pro(32bit) (带有F5插件) 目标:找到flag 程序功能描述:输入少于24个字符会提示需要24个字符并使得重新输入;如果输入正确的24个字符,即flag,输出成功;不正确的24个字符,则输出失败。 IDA分析目标程序 点击main函数 F5反汇编成C语言代码 main函数: int __cdecl main(int argc, const char **argv, const char **envp) { FILE.
反汇编静态分析工具IDA
weixin_47495230的博客
01-23 1353
所谓静态分析,是相对于动态分析而言的。在动态分析的过程中,调试器加载程序,并以调试模式运行起来,分析者可以在执行过程中观察程序的执行流程和计算结果。但是,在实际分析中,很多场合不方便运行目标,比如软件的某一模块(无法单独运行)病毒程序、设备环境不兼容导致无法运行。那么,在这个时候,需要直接把程序的二进制代码翻译成汇编语言,方便程序员阅读。像这样由目标软件的二进制代码到汇编代码的翻译过程,我们称之为反汇编。ollyDbg 也具有反汇编功能,但它是调试工具,其反汇编辅助分析功能有限,不适用于静态分析
C++常用软件分析工具从入门到精通案例集锦汇总
热门推荐
dvlinker的技术专栏
06-26 11万+
C++软件分析工具案例分析集锦!根据近几年C++软件异常排查的项目实践,详细地讲述如何使用PE工具、Dependency Walker、GDIView、Process Explorer、Process Monitor、API Monitor、Clumsy、DebugDiag、Windbg、IDA Pro等常用分析工具,以及如何使用这些工具去巧妙地分析和解决日常工作中遇到的问题,有很强的实战参考价值!
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
IDA PRO 02 - 静态逆向分析基础02
a5right的博客
12-01 2351
之前我们的例子还没有分析完成,由于 算法分析部分会单独成一个系列,所以就不继续了,该系列的核心还是在于IDA的使用。本篇再介绍一些其他的IDA使用技巧,有些技巧在特定的地方会很好用。
Android之使用IDA Pro静态分析so文件
码莎拉蒂
08-11 9216
安卓应用程序的开发语言是java,但是由于java层的代码很容易被反编译,而反编译c/c++程序的难度比较大,所以现在很多安卓应用程序的核心部分都使用NDK进行开发。关于NDK的开发知识点,请看这篇博客:Android之NDK开发。         关于NDK环境搭建的知识点,请看这篇博客:Android NDK开发篇(一):新版NDK环境搭建(免Cygwin,超级快)      
菜鸟总结so分析,arm 汇编,IDA静态分析
wruih的博客
08-04 2647
So 静态(arm 汇编,IDA静态分析等) R7:栈帧指针(Frame Pointer).指向前一个保存的栈帧(stack frame)和链接寄存器(link register, lr)在栈上的地址 R13:又叫SP(stack pointer),是栈顶指针 R14:又叫LR(link register),存放函数的返回地址。 R15:又叫PC(program counter),
浅谈逆向——静态分析简介(静态分析1)
qq_38684512的博客
01-28 1422
浅谈逆向-IDA简介IDA PROIDA反汇编选项配置IDA界面简介交叉参考参考重命名标签创建函数 IDA PRO IDA是按照区块装载PE文件的。 .text | 代码块 .data | 数据块 .rsrc | 资源块 .idata | 输入表 .cdata | 输出表 IDA反汇编选项配置 Option->General(选项->常规) 左侧从上至下...
加密与解密 调试篇 静态分析技术 (二)重命名/数据转换/字符串/数组/结构体
m0_64180167的博客
06-25 668
参考重命名是ida极好的一个功能可以把反汇编清单的默认名称改为有意义的名称增加可读性单击 + N 即可打开这个 sub_401120没有什么意义全部的 sub_401120都变为了 WndProc。
IDA静态逆向分析工具详解一
深耕安全技术研究
02-22 2990
文章目录1.目录结构2.生成的四个文件扩展名3. 基本规则4.常见前缀 1.目录结构 cfg(配置文件) idc(包含IDA内置脚本语言IDC所需的核心文件) ids(目录包含一些符号文件【IDA语法中的IDS文件】,这些文件用于描述可被加载到IDA的二进制文件引用的共享库的内容,包括 函数所需参数的数量,信息和返回类型。) loaders(目录用于识别和解析PE或ELF等已知文件格式的IDA扩展) plugins(目录包含IDA所需的插件) procs(目录包含IDA版本所支持的处理器模块,处理器模块为
逆向入门系列(2)静态分析工具ida的使用
NoOneGroup
08-28 8282
博客已经转移 https://noone-hub.github.io/ 首 先,ida的下载这个自己可以吧,不会的可以找我要ida6.8版本跟7.0版本,我只有这两个版本,6.8兼容32和64位系统,7.0只兼容64位系统,本文用的是6.8,在linux下,我用wine运行的打开ida后通常是这个界面,点击new 找到你要的文件,linux下的elf文件要选择all files才能找到...
逆向中静态分析工具——IDA初学者笔记
weixin_30532987的博客
10-17 6616
//******************************************************************************//IDA初学者笔记 //******************************************************************************//作者:Cai//日期:2011-10-18//***...
crash工具解析_IDA反汇编静态调试Android平台C++的so文件Crash入门
weixin_39729272的博客
11-21 571
最近刚接触到Android的C++编译出的.so文件崩溃,从后台上报系统能得到ARM64平台下发生crash时pc寄储器地址和函数名称,但没有行号,以及当时栈帧对应的31个寄储器的值,,第一次用IDA调试,边用边百度,不到2小时就上手,很就查出野指针问题了。本文引入两个实战,一个野指针Crash,一个空指针Crash。由于以前做windows多,有C++反汇编基础,也有STL略底层点知识,只是没有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值