ida数据修改总结

于 2025-04-01 16:43:49 发布
阅读量596 收藏 7
点赞数 22
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2403_87755661/article/details/146916703
版权

一般来说,得到的程序如果直接的数据解不出来,且认为密文提取或者程序逻辑正确的话,也有可能数据有修改

交叉引用

一般数据的修改都可以直接交叉引用ctrl+x找另外引用的地方,出现频繁最高

TLS

最开始可能会出现tls_callback函数,先于main执行,f9之后到main,main运行结束又回到tls,一般tls会和花指令等结合,在函数列表可能也能搜到

同时注意有反调试,看上面应该是不调试获得正确密文,所以这里第一个key是5而不是6

init_function

key被修改了

#include <stdint.h>
#include <stdio.h>
#include <string.h>
#define DELTA 0x9E3779B9
#define MX (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[(p & 3) ^ e] ^ z)

void xxtea_encrypt(uint32_t *v, uint32_t len, uint32_t *k) {
    uint32_t n = len - 1;
    uint32_t y, z, sum = 0, e, p, q;
    q = 6 + 52 / len;
    while (q-- > 0) {
        sum += DELTA;
        e = sum >> 2 & 3;
        for (p = 0; p < n; p++) {
            y = v[p + 1];
            z = v[p] += MX;
        }
        y = v[0];
        z = v[n] += MX;
    }
}

void xxtea_decrypt(uint32_t *v, uint32_t len, uint32_t *k) {
    uint32_t n = len - 1;
    uint32_t y, z, sum, e, p, q;
    q = 6 + 52 / len;
    sum = q * DELTA;
    y = v[0];
    while (sum != 0) {
        e = sum >> 2 & 3;
        for (p = n; p > 0; p--) {
            z = v[p - 1];
            y = v[p] -= MX;
        }
        z = v[n];
        y = v[0] -= MX;
        sum -= DELTA;
    }
}

int main() {
    uint32_t v[8] = { 
      3962803346,3145558623,1541010058,1093420299,
      3315082129,861271549,352576336,60051825, };
      uint32_t key[4] = { 1,1,4,5 };
      uint32_t i;
      uint32_t temp[2];
      for (i = 0; i < 8; i += 2){
        temp[0] = v[i]; 
        temp[1] = v[i + 1]; 
        xxtea_decrypt(temp, 2, key);
        v[i] = temp[0];
        v[i + 1] = temp[1];
      }
    printf("%s", (char *)v);
    return 0;
}
//flag{GDu7Il0v3uP1zl3tm3Gr@duate}?

init_array

ctrl+s查看数据段,发现init_array有函数

函数点进去后发现有修改,前面一部分相当于特征码搜索,找到i+31的地方改为75

大概率是在tea算法中有修改

原来的0b改为4b,从add变成sub,那大概率就对了

main函数前

一般程序都是按照函数列表的顺序执行的,前面几种失效的时候可以main往上找一找,这题就是在main函数前面有关键数据

交叉引用过去找到父函数,也就是上一个,找到可能的加密逻辑,4个一循环然后相邻位置异或

去试试看,发现竟然是对的

a=[26,16,0,67,8,32,18,65,113,1,119,68,35,1,34,99,35,7,18,118,39,97,92,125]
print(len(a))
for i in range(0,24,4):
    a[i + 2] = a[i + 2] ^ a[i + 3]
    a[i + 1] = a[i + 1] ^ a[i + 2]
    a[i]=a[i]^a[i+1]
for i in range(24):
    print(chr(a[i]),end="")
#ISCC{sSAC23Dc@Ac@cdvg@!}

IDA逆向修改值和字符串
David
01-09 1038
IDA逆向分析
最新IDA Python 使用总结_idapython
最新发布
2401_84585234的博客
05-03 704
addrdata。
ida逆向:变量、函数标注;反编译代码修改
yellow的博客
07-04 1万+
分析dll文件中的2个函数中变量、函数进行标注,以及反汇编代码修改,(遵循一些约定俗称的规定+自己爱好=形成自己风格)方便以后很快的阅读。 函数1:DllEntryPoint() 汇编窗口 栈窗口 反编译窗口 函数2:Init1( ) 汇编窗口 没有栈窗口 反编译窗口 清楚的标注,方便以后快速识别样本如何执行。
ida调试技巧-通过修改eip寄存器的值强制运行程序中存在但未被调用的函数
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
04-25 806
ctf逆向分析过程中有一类情况是程序中有某个函数未被调用,但其中存在一些重要信息(例如flag)且需要运行(即动态调试)后才可以获取到因为主函数的进程中从未调用,因此单纯的调试无论如何也无法进入该函数eip寄存器故而修改eip寄存器的值可以让cpu直接执行某函数参考本篇->
IDA简单教程数据类型说明更改等
03-23
需要的拿去吧 本文的主要内容就是讲如何用IDA来辅助识别各种类型的数据.
IDA Pro直接修改指令 ---以将jnz修改为jz为例子
iqiqiya的博客
09-18 2万+
IDA Pro直接修改指令 ---以将jnz修改为jz为例子 理清程序的逻辑后,采用最简单的办法控制程序的执行路径——修改指令。 首先,通过菜单栏中Options/General/Disassembly/Number of opcode bytes设置IDA使其显示指令的机器码。 一般修改为16 jnz的机器码为75,只需将其改为jz的机器码74。修改方法:Edit/Patch pr...
ida 调试中call stack如何打开|修改数值
HWP
03-21 1242
ida中call stack如何打开? 单击选择下面的椭圆框中,就会出现 出现:
ida pro 反汇编 Android so 库后修改 arm 汇编指令的方法总结
梧桐那时雨
03-12 7877
1 前言 最近博主在学习Android逆向的时候,参照吾爱破解论坛的《教我兄弟学Android逆向系列课程》学习的时候,学到第8章《教我兄弟学Android逆向08 IDA爆破签名验证》的时候,开始上手 ida pro 反汇编 so 库,在动手修改 so 库指令的时候遇到了困难,经过一番研究,终于搞懂了在 ida pro 中修改 so 库中 arm 汇编指令的方法,并完成了课后习题: 爆破李华D...
IDA Pro7使用总结
liinux-Talk is cheap,show me the code.
12-30 1098
一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c++中复杂的重载后的函数名称 PE tools: 是一组用于分析Windows系统中正在运行的进程和可执行文件的工具 string: 可以用于直接搜索出elf文件中的所有字符串 参数-a 表示搜索整个文件,参数-t 可以显示出每一个字符串的偏移,参数-e 可以用于搜索更多的字符编码的字符串,如Unicode编码 strip: 可用于
工具 IDA Pro
Luzhuo 的博客
04-04 1907
工具 IDA Pro 本文由 Luzhuo 编写,转发请保留该信息. 原文: https://blog.youkuaiyun.com/Rozol/article/details/79816847 交互式反汇编器专业版, 一款静态反编译软件 对源码的改动将无法撤销, 直接修改源码 下载地址(吾爱破解): https://down.52pojie.cn/Tools/Disassemblers ...
使用IDA分析高级数据结构
06-07
本文将深入探讨如何使用IDA分析高级数据结构,特别是如何处理C语言中的结构体、枚举、联合等数据类型。 ### 使用IDA分析高级数据结构 #### 结构体分析 在C语言中,结构体是一种复合数据类型,用于将不同类型的...
X86逆向实战5:通过修改关键CALL爆破
weixin_30952103的博客
07-08 280
免责声明: 该教程仅为个人学习笔记,并无任何商业目的,本人所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。 课程课件:https://files...
逆向工程之修改关键CALL返回值_破解视频转换专家
whatiwhere的博客
05-16 1052
1)注册软件随便输入注册名注册码 2)进入软件根目录,发送到PEID查壳 3)发现无壳 4)发送到OD 4.1)右键菜单选择智能搜索 4.2)找到关键信息点注册 4.3)找到关键信息点双击进入汇编,向上查找关键跳 4.4)第一个跳转je(1)和第一个关键CALL(2) 4.5)首先找到一个je跳转,可以跳过成功注册的命令,可以判定这个跳转为关键跳,上...
ida实用技巧
qq_35576225的博客
11-04 3328
debugger->debugger windows ->locals找到相应的变量 1.在寄存器中找到相应的位置更换变量类型,比如用a键将其转化为字符串。2.直接在定义变量的位置更换变量类型,比如从_byte *改为 char *,就可以在locals中刷新后显示。通过这个操作可以将变量转换数组,将数据类型修改为 对应的类型的指针 例如 char *a1。12 修改反汇编代码 可以用F2 Edit-patch program。5.修改伪代码变量类型 快捷键y。6.修改汇报中的变量类型。
IDA基本使用
热门推荐
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-19 2万+
IDA基本使用,零基础,新手友好,重点使用摘要。ida文件加载,IDA桌面简介,交叉引用,IDA动态调试,IDA脚本
20.IDA-修改二进制文件、显示修改
墨痕诉清风的博客
02-21 2754
Edit▶Patch Program菜单是GUI版本的IDA的一项隐藏功能,用户需要编辑idagui.cfg配置文件才能激活该菜单。这个文件的第一行是注释,第一行是最初的二进制文件的名称,随后则是文件中被修改的字节列表。每一行都指出被修改的字节的。然后,IDA会将得到的指令字节写入当前的屏幕位置。这个对话框显示了从光标所在位置开始的16个字节的值。你可以更改显示的部分或全部字节。DIF文件是一个纯文本文件,其中列出了一个IDA数据库中所有被修改的字节。用于编辑IDA数据库中的字节值。以及字节在数据库中的。
IDA使用教程 修改汇编指令
m0_43406494的博客
10-16 7699
注记:点击Hex窗口时,会自动把一条汇编指令的二进制数据组合在一起高亮显示,如上面mov eax,0 B8是指令类型对应的编码,00 00 00 00四个字节是操作数0 由此可以看到一条指令占的多少字节(相比OD还是麻烦了点) 因此call _remove 指令占5个字节 Edit -> Patch program -> Assemble 将call _remove改成nop ...
新手记录ida调试安卓so之修改寄存器值
weixin_36446688的博客
10-28 609
通过这些步骤,您可以使用IDA Pro进行Android SO文件的调试,并成功修改寄存器的值。在本文中,我们将介绍如何使用IDA Pro 7.7来调试Android SO(共享对象)文件,并演示如何修改寄存器的值。同时,观察通用寄存器中的 X9 值,这是我们将要修改的寄存器。设置断点:在IDA Pro中,找到需要调试的位置,并在该位置打上断点。修改寄存器值:现在,我们将修改寄存器的值,将1改为0。继续执行:继续按 F8 键,因为我们的程序是 a++,所以您会看到 a 的值已经变为1。
掌握反汇编工具IDA5.0的安装与使用
5. **调试和测试**:可以使用IDA自带的调试器对程序进行动态调试,设置断点、单步执行、修改寄存器和内存值等操作。 ### IDA5.0周边资源: 1. **ReadMe.txt**:通常这个文件会包含关于软件的重要信息,安装说明,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值