逆向中静态分析工具——IDA初学者笔记

逆向中静态分析工具——IDA初学者笔记

//******************************************************************************
//IDA初学者笔记

//******************************************************************************
//作者:Cai
//日期:2011-10-18
//******************************************************************************

本人作为一个初学者,尽量让本文也从一个初学者的角度讲一些比较适合的内容,对于高手而言,价值深浅就见笑了。

IDA打开一个Win32的EXE后,会出现一系列窗口,默认定位到“IDA View”窗口中的入口函数处,即VC程序的WinMain,

到这里,最重要最艰难的反编译工作已经被IDA这个工具完成了,但逆向工程,远不止这些。

接下来要来进行跟踪调试、修改 ,这就必须先学习如何使用这个IDA工具,不过同时进行也是最好的学习方法。

在正式开始前,有2个实用的浏览快捷键需要记住,就是前进后退:

前进:Ctrl+Enter

后退:Esc

当然也可以使用工具栏的按钮:

或菜单:

提示:若工具栏没有按钮则在主菜单View-Toolbars-Jump勾上即可:

1.主要窗口介绍:

IDA作为一个具有强大核心引擎和灵活辅助插件的组合型工具,有太多地方需要去研究熟悉的,但是学习是一个循序渐进、

由浅到深的过程,因此,本文从入眼就接触到的窗口开始介绍,应该是条正确的道路。

1)IDA View

该窗口可通过View-Open subviews-Disassembly调出:

该窗口有2种模式,一种是Text View,另一种是Graph View,2种大同小异, 关于两种浏览模式的转换,   可在右键菜单

中切换:

·Text View切换到Graph View:(注意:在 Text View中有时右键菜单不是这样的,这时换个有代码的位置点右键就可以了)

·GraphView切换到Text View:

以下采用比较通用的Text View为例来介绍,如下图:

主要是三个区域:地址区、OpCode区(操作码区)、反编译代码区

A.地址区

该处地址以PE文件加载到内存后的虚拟地址为准,即镜像基址+偏移地址,如例子的程序基址是0x00400000,

如图中.text:0048FEEC位置数据如下:

该处地址是基址0x00400000 + 偏移地址8FEEC,假如我们使用WinHex打开查看,可以看到偏移地址8FEEC 处的数据

如下:

可以看出,两处数据是相同的,因此在WinHex中修改 8FEEC 处的数据将会影响到IDA中.text:0048FEEC处的数据。

这里顺便转一下,虚拟内存空间地址表:

高2G空间 (Ring0级能访问区域) :

0xFFFFFFFF-0xC0000000:1GB用于VxD、存储器管理和文件系统;

0xBFFFFFFF-0x80000000:1GB共享的WIN32 DLL、存储器映射文件和共享存储区;

低2G空间(Ring3权限区域)

0x7FFFFFFF-0x00400000:约2GB为每个进程的WIN32专用地址;

0x003FFFFF-0x00001000:为MS-DOS系统 和 WIN16应用程序;

0x00000FFF-0x00000000:为防止使用空指针的4,096字节;

同时顺便提醒一下,不管EXE或DLL基址都是可变的,但一个DLL加载到EXE后,基址会被重定向,但偏移地址是不变的;

而对于PE文件,PE头的长度并不是固定的,当然有着同样的解析标准,可也导致IDA中偏移地址-基址不一定等于文件地址,

判断代码在文件中的基址很容易,通常PE头在WinHex中可以清晰的看到“This program cannot be run in DOS.....”,之后就是

一些段名称:如.text,.rdata。接着就是一小段00,之后出现数据的地方就是代码基址,大部分是55 8B或56 8B等。

B.OpCode区

该区域默认不会显示出来,需要打开菜单Options-General,

在“Disassembly”页中的“Display Disassembly  line parts”中,设置”Number of opcode bytes“,例子中设置 8,默认为0则不显示。

OpCode区字面上看是操作码区的意思,当然这是一个以16进制字符显示二进制数据的形式,这样结合反编译代码会更具直观性,

但也使界面复杂化,仁者见仁。

  C.反编译代码区

该区域是IDA的主要功能区域,具有很多特性,如相同字符串高亮、双击函数名或引用变量名可调整到对应的跳转地址等,这里功能快捷键繁多,留待以后慢慢学习熟悉。同样介绍几个快捷键:

·字符串搜索:             搜    索:Alt+T          下一个:Ctrl+T

·反编译为C代码:      在反汇编代码中按F5即可。

D.跳转指引区

该区域主要是显示一些跳转地址指引箭头,作用简单明了。

2)Hex View

该窗口如下图所示,与一般的16进制编辑器类似。

默认为只读状态,可使用快捷键F2对数据区域(绿色字符区域)在只读/编辑二种状态间切换,也可以使用patch program功能来编辑(后面会介绍该功能)。

3)其他窗体

IDA的窗体均可在主菜单View-Open subviews中打开/关闭,其他如pseudocode为反编译C代码窗体、strings为程序字符串列表窗口,均为十分有用的辅助窗口,以后再慢慢介绍

附:

1.启用patch program(修改代码)菜单:

idagui.cgf中DISPLAY_PATCH_SUBMENU改为YES,即可将修改二进制代码的菜单,

当然修改代码的窗体中仍是以16进制字符显示,这个修改于Alt+F2不一样,可以将修改于原文件的不同地方保存到一个dif文件里。

2.快捷键:

在IDA View中按F5可以生产C代码查看,  也可以将整个保存为C文件进行查看。

在Hex View中按F2可直接编辑16进制数据。

IDA显示字节机器码

菜单

Options >> General

Disassembly选项卡Number of opcode bytes写上非0,写1好像没啥用,只显示1位根本没用,16就差不多了

原文地址:https://www.cnblogs.com/lsgxeva/p/8947824.html

时间: 2024-10-01 07:53:38

逆向中静态分析工具——IDA初学者笔记的相关文章

逆向中静态分析工具——IDA初学者笔记之字符串分析

逆向中静态分析工具--IDA初学者笔记之字符串分析 程序中往往包含很多字符串资源,这些资源存在于PE文件的rdata段,使用IDA反编译后,可以查找到这些字符串, 逆向破解程序通常需要一个突破点,而这个突破点,往往就是一个Messagebox,因为这个Messagebox可以很直观的 让我们知道当前位置的代码负责哪些功能,而同时Messagebox可以提供一个字符串让我们来查找定位. 首先,打开IDA,主菜单View-Open subviews-strings: 这时出来一个strings窗口,

静态分析:IDA逆向代码段说明 text、idata、rdata、data

静态分析:IDA逆向代码段说明 text.idata.rdata.data 通常IDA对一个PE文件逆向出来的代码中, 存在四个最基本的段text.idata.rdata.data, 四个段为PE文件的结构中对应的段. 一.text段: 该段位程序代码段,在该段一开始就可以看到: .text:00401000 ; Segment type: Pure code.text:00401000 ; Segment permissions: Read/Execute 这里的段类型跟权限说明很清楚: 分别

逆向与反汇编工具

http://blog.163.com/[email protected]/blog/static/823405412012930555115/ 第 1 章           逆向与反汇编工具 了解反汇编的一些背景知识后,再深入学习IDA Pro之前,介绍其他一些用于二进制文件的逆向工程工具,会对我们学习有所帮助.这些工具大多在IDA之前发布,并且仍然可用于快速分析二进制文件,以及审查IDA的分析结果.如我们所见,IDA将这些工具的诸多功能整合到它的用户界面中,为逆向工程提供了一个集成环境.最

代码静态分析工具--PMD,Findbugs,CheckStyle

最近学习Mybatis的官方文档,看到了[项目文档]一节有很多内容没有见过,做个笔记,理解一下. PMD 扫描Java源代码,查找潜在的问题,如: 可能的bugs,如空的try/catch/finally/switch声明 死亡的代码,没有使用的本地变量,参数和私有方法 不合标准的代码,如String/StringBuffer用法 过于复杂的表达式,如不必要的if表达式 重复的代码,拷贝.粘贴的代码 FindBugs 它用来查找Java代码中存在的bug.它使用静态分析方法标识出Java程序中上

开源静态分析工具androguard体验(二)

逆向分析dex的话,个人还是比较中意VTS,JEB(穷人买不起),IDA等.之前有尝试使用过androguard,感觉还是不咋习惯,虽然基于其基础上演变的一些项目挺有吸引力.不过作为项目的基础,androguard确实再适合不过了.至少静态分析很多功能直接调用或者在其上修改效果倒是事半功倍.也正因为这个目的,才有了第二篇体验. 其实官网的wiki写的很详细了,包括一些使用方法,api参考,都挺丰富的.但是官网提供的demo不多,我觉得通过对androlyze.py的一些常见功能的使用,可以帮助我

开源静态分析工具androguard体验

原文链接:http://blog.csdn.net/xbalien29/article/details/21885297 虽然在windows端免费版的IDA.VTS等工具都可用来静态分析,但相对来说这些工具用来人工分析在合适不过,但对于项目开发,相对来说都忽视很好扩展.而在androguard却很适合进行扩展或者移植成为自己项目的某一模块,虽然早有耳闻,但也最近才动手体验几把.当然,androguard也被很多人再次开发过了,包括一些提供上传入口的检测网站,静态分析部分感觉都有使用该模块,很多

Jenkins集成源码静态分析工具

1.static code analysis插件说明 Jenkins提供了插件"static code analysis",该插件搜集不同的分析结果,并集合显示出来. 实际上,我们可以认为static code analysi和FindBugs等插件组成了一个静态分析代码的套件.仅仅安装static code analysis是不够的,还需要安装其他插件(如FindBugs),才能正确工作. 2.static code analysis支持哪些插件? 官方文档:https://wiki

静态分析工具汇总

静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):“静态测试包括代码检查.静态结构分析.代码质量度量等.它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行.代码检查代码检查包括代码走查.桌面检查.代码审查等,主要检查代码和设计的一致性,代码对标准的遵循.可读性,代码的逻辑表达的正确性,代码结构的合理性等方面:可以发现违背程序编写标准的问题,程序中不安全.不明确和模糊的部分,找出程序中不可移植部分.违背程序编程风格的问题,包括变量检查.命名和类型审查.程序逻辑审查.程

逆向知识第一讲,IDA的熟悉使用

一丶熟悉IDA,以及手工制作sig文件. IDA,静态分析工具,网上随便找一个即可下载. 首先,我们写一个可执行EXE,最简单的 使用IDA打开. 1.提示使用什么格式打开 因为是PE格式,所以我们选择PE即可.点击OK 2.重新打开一下 如果以前已经打开过这个PE,那么重新打开,则会显示这三个按钮, 1.overwrite 重新写入,代表覆盖以前的.(联系中常用这个,工作中不常用) 2.load existing 加载已经存在,这个很常用,因为有的时候汇编的注释很多,或者样本分析不会是一天完成