从0开始学逆向 第二期:最喜欢的IDA

已于 2024-09-03 21:10:11 修改
阅读量1.7k 收藏 12
点赞数 10
CC 4.0 BY-SA版权
分类专栏: # 从0开始学逆向 从0开始的CTFer之路 CTF相关 文章标签: 安全 网络安全 c语言
于 2024-09-03 14:35:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CHTXRT/article/details/141861030

Reverse 学习(二) - IDA 大好き

上一节提到了逆向(和Pwn)中利用最广的工具:IDA。那么今天我们来重点讲讲这IDA应该如何使用(基础用法,难的我不会)。

学习要求

  1. 会用鼠标
  2. 会用键盘
  3. 其它跟上一节一致

[undefined](想不到标题名)

对于刚入门的 re新星来说,最常见的还是静态分析的题目,我们可以使用IDA来进行反汇编以及进一步的反编译工作。

IDA Pro(interactive Disassembler Professional)是由 Hex-Rays 公司出品的一款交互式反汇编工具,也是软件逆向工程当中最流行的一个静态分析工具。

在之前和之后的章节中,我们提到的 IDA 其实指的就是 IDA Pro

这里,我们假设您已经安装好了 IDA Pro

用IDA打开程序

俗话说的好,千里之行,始于足下。你想用IDA来逆向程序,那你肯定要先用IDA打开这个程序。

如果你成功地安装了IDA Pro,那你的桌面上应该会有两个IDA,一个是32位的(x32/32-bit),一个是64位的(x64/64bit),与要分析的程序对应。32位IDA不能打开64位程序,64位IDA能打开32位程序,但是只能反汇编不能反编译。

在这里插入图片描述

想要分析一个程序,我们可以将这个程序拖到对应的IDA图标上,IDA一般都能自动识别出程序类型,会弹出如下弹框:

在这里插入图片描述

一般来说,这里我们一般都不用动这些选项,直接点OK就行了。

这个OK点完,还可能出现如下图所示弹窗:

在这里插入图片描述

出现这个弹窗就说明你有芙了,这个弹窗是用来询问你是否加载程序编译时自带的调试信息(也就是 gcc -g),看到这个狠狠地点 Yes 就完事了,这样有很多程序的函数名和变量名等都会被保留。(加载调试信息和不加载调试信息,你打开程序后可以明显看出区别,感兴趣的可以自己试试)

除了这个弹窗,还有可能会出现一些别的弹窗,一般来说,如果你看不懂,点 Yes/ OK 就完事了(“啊对对对”)。

可能有很多同学不懂得64位程序和32位程序的区别,也不知道怎么辨别程序是64位和32位,暂时对指令集知识一窍不通。没关系,我这里有个非常简单的方法:如果你不知道你要逆向的程序是多少位的,你可以先用32位IDA打开它,如果显示 Please use 64-bit IDA to load PE+ files就说明这个程序是64位的,你再用64位IDA打开它,否则这个程序就真的是32位的。(这个方法主要是防止发生你用64位IDA成功打开了32位程序但却反编译不了的尴尬场景,懂哥就不用这么试了)

成功打开程序后的IDA界面

完成上一步后,我们就会看到这样一个界面:

在这里插入图片描述

其中,左边那名为 Function Windows 的一列,是 IDA 所识别出来的函数列表,双击这个表里的函数名可以直接跳转到对应函数。

中间那几页介绍如下:

  • IDA-View :以汇编形式呈现的由 IDA 进行反编译所得的单个函数结果,默认是以由基本块构成的控制流图的形式进行展示,也可以通过 空格 键切换到内存布局中的原始汇编代码
  • Hex View : 二进制文件的原始数据视图(有点类似于在16进制编辑器中打开的样子)
  • Structures :由 IDA 所识别出来的程序中可能存在的结构体信息
  • Enums :由 IDA 所识别出来的程序中可能存在的枚举信息
  • Imports : 该二进制文件运行时可能需要从外部导入的符号
  • Exports : 该二进制文件可以被导出到外部的符号

对要进行反编译的函数按 F5 键,可以对这个函数进行反编译,IDA会自动将汇编代码尽力反编译为 C/C++ 形式的源代码。

在这里插入图片描述

在后面,我们称 IDA-View 为“反汇编界面”,Pseudocode 为“反编译界面”。

反编译界面基本操作

注意:此节所讲的一些操作,大多在反汇编界面中也可使用。

有时候,为了能更好的阅读代码,我们可能想要修改变量名。单击可以选中某个变量,对其按右键弹出菜单,其中有几个选项可以重点注意:

  • Rename lvar...:快捷键N,重命名变量
  • Set lvar type..:快捷键Y,设置变量的类型
  • Jump to xref...:快捷键X,列出有哪些地方的代码使用了这个变量

对函数名按右键,也可以对函数进行类似的操作:

  • Rename global item...:快捷键N,重命名函数
  • Set item type..:快捷键Y,设置函数的类型(比如返回值、参数类型等)
  • Jump to xref...:快捷键X,列出有哪些地方的代码调用了这个函数

其它常用快捷键

Shift+F12:打开Strings窗口,可以列出程序中所有字符串,可以用来定位程序的主体代码

(未完待续)

例题

BUUCTF-easyre


本期就先写到这里,主要讲了讲IDA的一些基础用法,下期将会写一下逆向题目的基础做法。

参考资料

[1] IDA Pro - CTF Wiki :https://ctf-wiki.org/reverse/tools/static-analyze/ida/

以上内容仅供参考,如有错漏,也很正常。


作者:CHTXRT

出处:https://blog.youkuaiyun.com/CHTXRT

本文使用「CC BY-ND 4.0」创作共享协议,转载请在文章明显位置注明作者及出处。

[网络安全篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6862
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
从零开始IDA逆向(中)1
08-03
从零开始 IDA 逆向(中篇)原著:Ricardo Narvaja译:六文钱目 录32.3 lm 命令 532.4 设置符号文件路径 634 DEP 和植入代
从零开始IDA逆向(百度云)
ewq1212313的博客
02-20 1926
链接:https://pan.baidu.com/s/1UTq7YDNJYxb-vkmJFCSmbw 提取码:hrd0 –来自百度网盘超级会员V4的分享
逆向工具——IDA Pro的使用,从零基础到精通,收藏这篇就够了!
最新发布
QIANDXX的博客
05-12 2381
交互式反汇编器专业版 (Interactive Disassembler Professional),江湖人称IDA Pro。这货是个递归下降反汇编器,在逆向分析界那是响当当的存在。它能分析 x86、x64、ARM、MIPS、Java、.NET 等等各种平台的代码,简直是安全分析师的秘密武器!IDA 是 Hex-Rays 公司的王牌产品,这家公司在比利时,能写出这种神器的绝对是大佬中的大佬。左边这块就是函数窗口,所有函数都在这儿列着。拿到一个题目,一般从main函数开始,但main。
菜鸟的逆向工程习之路——逆向工具IDA的使用
m0_74762365的博客
10-21 2万+
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称为 IDA Pro。就其本质而言,IDA 是一种递归下降反汇编器,是个逆向分析的神器之一,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,是安全分析人士不可缺少的利器!
从零开始IDA逆向.pdf
07-15
从零开始IDA逆向.pdf
IDA+OD双剑合璧=逆向无敌
翻肚鱼儿的博客
11-03 1393
准备工具:ollydbgidavs2012---------------------------------我们先把目标程序winasm_0.exe拖入peid主界面 那我们去输入表看看 也好像没什么特别值得关注的。、那好简单测试下程序看有什么状况发生 看弹出对话框那我们该想到什么?API断点!messagebox相关!不急我们把它拖入OD直接ctrl+A分析 入口点: 习惯性的我把它上下一翻、发现: 这不是我们要找的字符串吗?...
Android逆向之旅--「最右」签名算法解析(ARM指令习喜欢篇)
编码美丽
03-11 923
一、逆向分析在之前已经介绍了最右这款App的签名算法解析第一篇工作,因为签名算法比较多,所以就分开处理,大家如果要看后续文章,一定要记得去详细看第一篇文章,不然我也不能保...
ARM汇编与逆向工程(蓝狐卷:基础知识)
热门推荐
Python、C++、HTML、Java
03-18 3万+
本期博主给大家推荐一本ARM汇编与逆向工程的图书,感兴趣的小伙伴快来看看吧!《ARM汇编与逆向工程 蓝狐卷 基础知识》分为12章,从基础的字节和字符编码到操作系统原理、Arm架构和指令,再到静态和动态分析、逆向工程实践,循序渐进地讲解Arm逆向工程的方方面面,而且每一章都包含许多实际的案例,可以帮助读者更好地理解和掌握相关知识。同时,书中也介绍了许多工具和技术,如IDA Pro、Radare2、Binary Ninja、Ghidra、GDB等,这些工具在实际逆向工程中都有着广泛的应用。
ida逆向基础教程
09-30
看一看吧 这个没有什么坏处 就是一个分享的教程 知识就是力量
从零开始ida2.pdf
03-17
从零开始ida2.pdf
IDA逆向分析.pdf
09-22
IDA逆向分析.pdf IDA逆向分析.pdf IDA逆向分析.pdf
从零开始ida1.pdf
03-17
从零开始ida1.pdf
逆向工程与IDA使用入门
weixin_43104689的博客
08-25 1911
逆向IDA PRO, 逆向
IDA,牛逼!逆向安全应该怎么
MachineGunJoe666
09-19 587
逆向分析是网络安全从业人员尤其是二进制安全研究人员必备的技能。 提到逆向分析,不得不说的就是神器IDA,这个逆向分析的大杀器,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,可以说是非常强大了! 0 但强大的同时,IDA复杂的功能让新手小白一时之间不知如何上手。要是有一个详尽的教程,从简单入手介绍逆向工程入门,配合IDA的使用,那就再好不过了! 好消息来啦!!! 近日,我从一个安全大牛朋友那里搞到了一个他珍藏多年的IDA逆向分析教程,从简入繁,层层递进,可以说是非常给力了
逆向分析工具——IDA笔记
m0_63606191的博客
01-22 3366
是 是
IDA Pro7.0使用技巧总结使用
寻梦&之璐
11-07 4794
俗话说,工欲善其事,必先利其器,在二进制安全习中,使用工具尤为重要,而IDA又是玩二进制的神器,以前在使用IDA的时候,只是用几个比较常用的功能,对于IDA的其他功能没有去研究,于是本着习的精神,参考着《IDA pro权威指南》(第二版),写下这篇文章,记录自己的习心得,下面的记录都是在Windows平台下的IDA pro7.0进行的 一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值