你的位置:首页-大汉西有限公司 > 新闻资讯 >
IDA健美操将从可执行文献的头中读取到信息
发布日期:2024-05-04 08:05 点击次数:58
https://blog.csdn.net/mackilo/article/details/127747292健美操
IDA正式使用教程,原创合适逆向生人的实验诠释,对于快捷键,界面展示等的先容,推选全球结合另一篇ida实操,著述食用。切实感受ida的魔力与强大。
一、软件先容
IDA全称是交互式反汇编器专科版(Interactive Disassembler Professional),东说念主们其简称为IDA,IDA pro 是业界最熟悉、先进的反汇编器具之一,是咫尺最棒的一个静态反编译软件,为宽阔0day全国的成员和ShellCode安全分析东说念主士不可穷乏的利器!IDA Pro是一款交互式的,可编程的,可膨大的,多经管器的,交叉Windows或Linux WinCE MacOS平台主机来分析要领, 被公觉得最佳的用钱不错买到的逆向工程利器。IDA Pro如故成为事实上的分析敌意代码的标准并让其本人马上成为膺惩商榷限制的紧迫器具。它撑捏数十种CPU请示集其中包括Intel x86,x64,MIPS,PowerPC,ARM,Z80,68000,c8051等等。
IDA Pro 的主要优点是它允许以交互花样调动深刻数据的任何元素:
给函数、变量、数据结构等定名。
调动数据暗示(如数字、多样编码的字符串、数据结构)
搭建图表和代码历程图,简化对反汇编代码的息争
杭州宏欧家居有限公司使用c++中干系函数参数和结构界说的类型信息,以便自动定名参数和变量
自动识别和定名汇编代码中的标准库函数
所谓工欲善其事必先利其器。是以必定需要先熟悉逆向中最常用的器具。而IDA pro则是被公觉得最佳的用钱不错买到的逆向工程利器。天然咫尺对我来说是细目买不起的,是以我用的是破解版,先熟悉一下ida的基本操作。
二、软件运行
在ida安设完成后,在桌面上会有两
图片
个图标。其中idaq.exe老成反编译32位可执行文献,idap64.exe老成反编译64位可执行文献。点击运行idaq之后用户便可遴荐加载可执行文献的花样。
径直运行ida,会展示这个界面。“New”选项标明反编译新可执行文献,“Go”选项标明径直插足主界面,“Previous”选项标明加载已反编译的文献选项。其中previous会给出给出之前逆向过的文献, 威海欣荣贸易有限公司如图便是我之前一段技巧分析过的一些文献。
图片
径直插足便是IDA主邀功能界面, 安徽省徽商进出口有限公司IDA撑捏径直将文献拖入界面处所的区域中。
图片
举例我掀开的是咱们期末上机锤真金不怕火系统的客户端。ida可识别面前玩家加载的可执行文献类型, 江苏杰科国际贸易有限公司已识别出文献为PE可执行文献体式。底下“Processor type”选项标明面前经管器类型, 首页-科利企农机有限公司IDA大约识别的文献类型可依照IDA默许选项加载可执行文献,浑源县立高锁具有限公司要是IDA弗成识别的二进制代码,举例ShellCode代码,可遴荐“Binary file”花样加载,遴荐“Binary file”花样加载。
图片
一朝遴荐“Binary file”花样加载文献,则需要用户手动填入加载段地址和相对偏移,对应上图“Loading segment”和”Loading offset”选项。该种花样主要应用场景为:分析动态保存的二进制代码、ShellCode二进制代码分析等。遴荐“Binary file”花样加载文献,IDA不会自动分析代码,用户需凭证具体需求自行反汇编二进制代码。
Processor Type:不错指定在反汇编过程中使用的经管器模块。多数情况,IDA将从可执行文献的头中读取到信息,遴荐合适的经管器。
kernel options:建树特定反汇编分析选项,IDA可行使这些选项该进递归下落过程。通常ida默许的王人是最优的。
processor options:遴荐适用于经管器模块的建树选项。
三、界面简介
进行逆向分析之前需了解IDA界面有哪些功能,包括:导航条、反汇编窗口、其他接济分析窗口。这是我我方简便制作的一张图,健美操固然不够全面,但但愿能匡助息争。
图片
1)导航条IDA
主界面中存在一项神采差异的导航条。通过导航条可了解分析可执行文献各部分数据分散情况,多样神采代表含义如下:
蓝色:暗示老例的请示函数,绝大部分为用户编写的代码,上图中绝大部分数据属于蓝色数据。
玄色:暗示舛讹部天职容,可执行文献中包含多个节段,相邻节段之间存在闲逸,红色暗示闲逸部分。
银白色:暗示数据项部天职容,可执行文献中会包含大宗数据,银白色暗示数据项部天职容。
粉色:暗示外部导入标志,通常可执行文献会导入外部的库函数。
暗黄色:暗示IDA未识别的内容,需要用户凭证需求自行分析。
以上基于IDA默许开拓先容多样神采在导航条的含义,IDA同期提供了神采开拓,便捷用户凭证需求遴荐合适的神采,对应“Options”菜单的“Colors”选项中,对应选项如下图所示:
图片
可在“IDA Colors”对话框的遴荐“Navigation band”Table项,在对应选项中开拓各项数据的神采,便捷实质场景的分析。
2)反汇编窗口
反汇编窗口属于逆向分析过程中原宥频率最高的窗口,通过此窗口不错逆向分析反汇编代码,迁移端均分析频率最高的属于Arm请示集,包括:Arm 32为请示集(常用语Android平台Native层反汇编代码分析)、Thumb 16位请示集(常用于IOS平台32位Mach-O文献的反汇编代码分析)、Arm 64位请示集(常用于IOS平台64位Mach-O文献的反汇编代码分析)。反汇编窗口属于“IDA View-A”标签项内容。反汇编窗口可分为两种模式,折柳为:默许模式和图形模式。
3)其他接济分析窗口
除了提供反汇编分析窗口,IDA默许界面提供二进制稽查剪辑窗口、函数窗口、结构窗口、陈设类型窗口、导入函数窗口、导出函数窗口。不同窗口在分析阶段起到不同作用。底下先容其他接济分析窗口功能的应用场景。
二进制窗口可撑捏用户稽查可执行文献对应相对偏移的二进制机器码数据,二进制稽查窗口对应“Hex View-1”选项内容。
图片
二进制稽查窗口统共分为三部分,三部天职容折柳位于上图左、中、右,三处含义折柳为:
左边数据:暗示二进制数据对应的内存相对偏移。
中间数据:暗示内存中数据的具体内容。
右边数据:暗示内存数据的字符串深刻,该功能可接济读者快速识别字符串内容。
用户可在二进制稽查窗口中剪辑二进制数据,从而称心删改数据的测试需求。
函数窗口
IDA提供函数窗供词玩家查找函数信息,在窗口按下“CTRL + F”快捷键便可凭证需求搜索函数名,快速定位函数名花样可提供逆向分析效果。
结构窗口(Structures)
结构窗口提供用户查询已界说的结构体,同期IDA可识别出可执行文献包含的部分结构体数据,结构窗口可通过快捷键“+”、“-”张开和减弱结构体,IDA结构窗口撑捏用户自界说结构体。
导入函数窗口(Imports)
IDA提供导入函数窗口,用于可在导入函数窗口中稽查面前可执行文献导入哪些外部函数库及函数,通过导入函数窗口可取得到函数内存相对偏移地址、函数名、导入函数所属的库文献。
导出函数窗口(Exports)
IDA的导出函数窗口提供可执行文献导出函数信息,通过导出函数窗口可取得到导出的函数名、函数对应的内存相对偏移地址。
IDA分析可执行文献
IDA会对可识别的文献进行代码反编译,反编译过程依据文献大小而定。IDA软件会行使归来花样递进分析可执行文献反汇编代码。判断IDA分析竣事的三种步伐折柳为:
1)图中IDA的“Output Window”窗口输出“The initial autoanalysis has been finished”日记时,则证据IDA已分析竣事。
2)如图所示程度条处黄色进取箭头隐匿机,则标明IDA分析竣事。
3)图中IDA界面左下角AU处于”idle”气象时,也标明IDA分析竣事。
四、常用快捷键
空格键:反汇编窗口切换文本跟图形
Esc:在反汇编窗口中使用为后退到上个操作的地址处
Shift +F5:掀开签名窗口
shift+F12:自动分析出参考字符串
ALT+T:搜索字符串(文本搜索)
ALT+L:标志(Lable)
ALT+M:开拓标签(mark)
ALT+G:交流局部变量为结构体
ALT+Enter:跳转到新的窗口
Alt+B:快捷键用于搜索十六进制字节序列,通常在分析过程中不错用来搜索opcode
CTRL+M:列举出面前如故添加的标签
CTRL+S列举出二进制要领的段的开动地址、截止地址、权限等信息
F9:动态调试要领(其实IDA主要用作静态分析用的)
F5:将一个函数逆向出来(生成c伪代码)
G:跳转到指定地址
A:将遴荐的信息交流成ASCII(交流成可读性跟强的字符串)
埃飞灵卫浴科技有限公司X(ctrl+X):交叉援用,相似于OD中的栈回溯操作
N:对标志重定名
:&;(冒号&分号):光标处所位置添加老例谛视和可重叠谛视
P:创建函数
T:明白结构体偏移
M:交流为陈设类型常量
Y:开拓变量类型
H:交流16进制
C:光标处所地址处的内容明白成代码
D:光标处所地址处的内容明白成数据
A:光标处所地址处的内容明白成ascll码字符串
U:光标处所地址处的内容明白成未界说内容健美操。
本站仅提供存储做事,通盘内容均由用户发布,如发现存害或侵权内容,请点击举报。上一篇:没有了
下一篇:一部圭臬的原味国产剧