anroid动态库逆向,IDA的ARM指令和Hex编码

最新推荐文章于 2021-10-13 09:25:19 发布
最新推荐文章于 2021-10-13 09:25:19 发布
阅读量1k 收藏
点赞数
分类专栏: Android 逆向日常填坑集锦
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MarketAndTechnology/article/details/90758003
版权

 

刚开始看ARM指令对应的Hex码的时候会很疑惑,32位的指令为什么会对应四组Hex编码。按照2^4 = 16 来说,一对编码可以描述16位,4对编码可以描述64位才对呀。

实际上Hex编码就是把一个8位的字节数据用两个十六进制数展示出来,编码时,将8位二进制码重新分组成两个4位的字节,其中一个字节的低4位是原字节的高四位,另一个字节的低4位是原数据的低4位,高4位都补0,然后输出这两个字节对应十六进制数字作为编码。Hex编码后的长度是源数据的2倍。

比如ASCII码A的Hex编码过程为

ASCII码:A (65)
二进制码:0100_0001
重新分组:0000_0100 0000_0001
十六进制:        4         1
Hex编码:41

 所以看下图

这四对Hex编码为什么对应右边的Z... 。我们来解读一下

5A分组就是00000101   00001010,二进制码就是  01011010 也就是90,对应的ISCII 码为 Z 。

13分组就是00000001   00000011 ,二进制码就是 00010011 也就是19,对应的ISCII吗为空。

后面的两组00 对应的ISCII码也是为空,所以展示出来就是Z... 

这就是我们在界面上看到的表象,具体的二进制码在ARM汇编的解释器的解释为什么语句,那得由解释器来解释执行。

总之我们知道了对应的二进制码和我们看到的表象是什么。至于具体解释执行什么,要看每个文件对应的解释平台给

他什么样的解释。

使用反汇编工具IDA查看动态库中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序底层C++库崩溃问题
dvlinker的技术专栏
01-09 2万+
本文详细介绍如何使用IDA反汇编工具去查看二进制文件中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序遇到的底层库崩溃问题。
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,快速定位安卓app程序底层C++库的崩溃问题
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题。
ida 反编译 linux bin,使用IDA pro逆向ARM M系核心的Bin固件
weixin_39842519的博客
05-11 912
使用IDA pro逆向ARM M系核心的Bin固件​ 物联网智能设备这两年还是比较火的,我们的手中或多或少都有了几个智能设备,比如手环,智能手表,或者门锁什么之类的东西,但是同学们在做逆向的时候,却有很多问题。要不然是根本拿不到固件,要不然是拿到了Bin之后看不懂,这篇文章带大家手把手调教IDA pro,让他逆向无符号的Bin文件。一.意义​ 先说一下逆向固件的意义把,一般来说,这种小东西都会...
今日头条适配方案_探索头条小程序开发!JavaScript为什么成了众多小程序的首选?...
weixin_39991055的博客
12-08 285
从13年百度率先提出轻应用的概念以来,支付宝,微信等好多大流量App都借助自己的平台,推出了小程序。小程序的优势很明显:轻量、无需安装、随用随走、性能又可以媲美原生的应用,更重要的是可以充分发挥各自平台的优势,带来更精彩、更丰富的用户体验。而开发小程序,就不得不提JavaScript与Node.js。JavaScript是什么?JavaScript其实跟Java也没什么关系,它的官方名称为ECMA...
linux的x64与x86_在Linux x86 64机器上链接
weixin_26705651的博客
09-21 466
linux的x64与x86Linking is the process of combining various pieces of code and files in order to construct a single file that can be loaded into memory and then executed.Linking can be performed at compi...
arm对应hex_系统级验证时ARM程序运行的debug技巧
weixin_42360953的博客
12-30 444
1如果碰到ARM运行程序的问题,最好把下面的debug开关打开,这样可以打印出很多有效信息,但也会使得仿真变慢。2ARM运行的原始程序可以是汇编程序、C语言程序,最后编写Makefile文件,通过ARM专用的交叉编译器编译,生成最后可运行的汇编二进制代码。(1)原始文件类似如下:start.s/main.c/a.c/b.c/boot.hex(2)生成的反汇编文件如下:这个文件在后面的d...
arm ida 伪代码 安卓 符号表_IDA调试界面介绍及快捷键
weixin_31940053的博客
01-08 889
点击蓝字默默关注首先,打开IDA工具,进入IDA的调试界面。1IAD调式界面介绍1.IDA-view-PC:反汇编窗口,如图1.1所示。 (图1.1)2.Hex-View:十六进制编辑窗口,如图1.2所示。 (图1.2)3.Output windows(下方) :输出窗...
ida pro 反汇编 Android so 库后修改 arm 汇编指令的方法总结
梧桐那时雨
03-12 7890
1 前言 最近博主在学习Android逆向的时候,参照吾爱破解论坛的《教我兄弟学Android逆向系列课程》学习的时候,学到第8章《教我兄弟学Android逆向08 IDA爆破签名验证》的时候,开始上手 ida pro 反汇编 so 库,在动手修改 so 库指令的时候遇到了困难,经过一番研究,终于搞懂了在 ida pro 中修改 so 库中 arm 汇编指令的方法,并完成了课后习题: 爆破李华D...
Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码)
尼古拉斯.赵四的博客
04-18 2682
一、前言 今天我们继续来看破解apk的相关知识,在前一篇:Eclipse动态调试smali源码破解apk我们今天主要来看如何使用IDA来调试Android中的native源码,因为现在一些app,为了安全或者效率问题,会把一些重要的功能放到native层,那么这样一来,我们前篇说到的Eclipse调试smali源码就显得很无力了,因为核心的都在native层,Android中一般native层...
Android逆向IDA改写so
小龙在线
12-04 2578
解压APK APKTool解压app-debug.apk : apktool d app-debug.apk armeabiv-v7a: 第7代及以上的 ARM 处理器。2011年15月以后的生产的大部分Android设备都使用。 arm64-v8a: 第8代、64位ARM处理器,很少设备,三星 Galaxy S6是其中之一。 armeabi: 第5代、第6代的ARM处理器,早期的手机用的比较多。 x86: 平板、模拟器用得比较多。 x86_64: 64位的平板。 修改字符串 在\app-debug\l
指令arm转16进制
06-29
ARM指令hex,对android逆向篡改.so很有帮助,是一位大大写的,我稍微反编译优化了下界面,之前找这个工具花了不少工夫,现在分享给需要的朋友
IDA7.0 hexview双击地址跳转插件
05-15
IDA7.0不支持hexview双击地址跳转,在调试的时候很不方便,可能是一个bug.还是自己写一个吧 把文件放到\plugins目录, hexview改成地址模式
整理的51道汇编题带答案
qq_18811919的博客
09-07 1915
自己整理的一些汇编题有些问题是我自己提出来的然后自己找的答案其中有我自己的理解,不能保证答案全部正确如果发现错误欢迎大家指正我的QQ:1024275440 1.写出4个传送指令: 2.写出8个转移指令: 3.写出7个运算指令: 4.写出1个处理机控制指令: 5.EFLAGS寄存器包括的标志位有那些他们的功能是什么: 6.大小端模式的区别是什么: 7.一串二进制第一位为1则是否为正数: 8.请写出ADC指令的语义: 9.请写出SBB指令的语义: 10.有符号数无符号数的区别是什么: 11.无符号5的补码是多
ARM学习之 动态调试ida
04-24 1461
2020-04-24 学习如何进行动态调试 本文以截图说明建议为主,后期如有新的想法再丰富 准备一部已经root过的手机,然后还要准备ida 第一步先将android_server push到手机的/data/local/tmp/目录下 android_server 存放在 ida目录下的dbgsrv 命令为 adb push android_server /data/loc...
arm ida 伪代码 安卓 符号表_一款木马释放器的简单分析及IDA的骚操作
weixin_42697475的博客
01-06 1034
本文为看雪论精华文章看雪论坛作者ID:SSH山水画前言这是一款比较简单的木马,通过分析此样本可以训练分析思路、分析逻辑,并且加强IDA的使用。如有不对的地方,欢迎指出,择优吸收。样本信息File: virus.exeSHA1: 71b7322291b5a89d227b5cfe82106fce51036da2SHA256:b48ebc54b9717bbe3a9de3fd5744c8ad1f...
IDA编译STM32 Hex\Bin文件成C代码
热门推荐
Wolf的专栏
01-06 4万+
IDA是一款功能强大的fan编译软件,网上找了许久没找到它的使用教程,经过摸索可将STM32的hex文件进行fan汇编,操作步骤如下,首先下载IDA Pro软件,免安装。 IDA Pro下载链接:https://pan.baidu.com/s/15mlNh73Ga9zj9y3JN4kfaw 提取码:kkxi 如果文件为bin文件,可使用bin转hex工具转为hex格式, BinTo...
ida int to hex
hyb1234hi的专栏
07-21 243
import struct; print struct.unpack('f',struct.pack('i',1003599639))
【Android 逆向arm 汇编 ( 使用 IDA 解析 arm 架构的动态库文件 | 使用 IDA 打开 arm 动态库文件 | 切换 IDA 中汇编代码显示样式 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-13 4086
一、使用 IDA 打开 arm 动态库文件、 二、切换 IDA 中汇编代码显示样式、
arm ida 伪代码 安卓 符号表_ARM栈回溯——从理论到实践,开发IDAarmunwindplugin
weixin_39899776的博客
12-15 627
本文为看雪论坛精华文章看雪论坛作者ID:LeadroyaL本文从栈回溯的原理开始,到 arm ehabi 的回溯方式,再到 elf 文件中的 unwind 信息,最后实现一款 IDA 里实时进行 arm 栈回溯的插件,覆盖了现代 arm 栈回溯的全部内容,希望能给大家带来帮助。作品链接:https://github.com/LeadroyaL/IDA_ARM_Unwindpyelft...
IDA Pro怎么分析hex文件
最新发布
01-14
### 使用 IDA Pro 分析 Hex 文件的方法 IDA Pro 是一款功能强大的反编译工具,可以用于分析多种类型的二进制文件,包括Hex文件。通过特定的操作流程,能够有效地解析并理解这些文件的内容。 #### 准备工作 为了开始分析过程,首先需要获取适用于目标平台的 IDA Pro 版本,并确保其已正确安装配置完毕[^3]。 #### 加载 Hex 文件到 IDA Pro 中 启动应用程序之后,在主界面选择 "File" -> "Load file" -> "Binary File..." 。此时会弹出对话框提示输入加载选项;由于Hex文件本质上属于十六进制编码的数据流形式存储,因此在该窗口内需指定正确的加载设置来匹配待处理的目标文件特性: - **Format**: 选择 `Raw binary` 或者其他适合的形式。 - **Processor type**: 根据具体应用场景选取合适的处理器架构类型,比如 ARM Cortex-M 系列对于 STM32 设备而言较为常见。 - **Address size**: 设置地址宽度参数以适应不同硬件环境下的需求差异。 - **Loading offset/base address**: 如果有特殊要求,则在此处设定相应的偏移量或基址信息。 完成上述配置后点击 OK 即可导入所选中的 Hex 文件进入下一步骤。 #### 初始化数据库与初步查看 一旦成功读取数据,IDA 将自动创建一个新的项目数据库,并尝试识别其中可能存在的结构化特征(如函数入口点、字符串常量区段等),这有助于后续更深入的研究工作开展。用户可以通过左侧导航栏浏览各个内存区域分布情况以及右侧显示的具体指令级细节描述。 #### 利用插件增强功能 考虑到某些复杂场景下原生支持或许不足以满足实际需求,这时便可以考虑借助第三方扩展模块进一步提升工作效率。例如,针对嵌入式系统的固件逆向工程任务来说,“Hex-Rays Decompiler” 插件就提供了非常实用的帮助,它可以在很大程度上简化从机器码恢复高级语言源代码的过程[^1]。 #### 应用 F5 功能转换为 C/C++ 当面对由汇编语言构成的部分难以直观解读时,不妨试试按下快捷键 F5 来触发内置的去混淆机制,试图将其重构回接近原始编写状态的样子 —— 这里指的是尽可能还原成易于人类阅读维护的 C / C++ 形式的伪代码表示法。不过需要注意的是,尽管这项技术已经相当成熟可靠,但由于种种原因并非总能百分之百完美重现最初的意图表达方式[^2]。 ```python def analyze_hex_file_with_ida_pro(hex_path, processor_type="ARM"): """ A function to demonstrate how one might programmatically interact with IDA Pro using its scripting capabilities. :param hex_path: Path to the HEX file that needs analysis. :param processor_type: The target architecture's processor type (default is 'ARM'). """ import idc # Load the specified HEX file into IDA as a raw binary image idc.load_binary_file(processor_type, hex_path) # Automatically determine entry points and other important features of the code idc.auto_wait() # Attempt decompilation where possible via pressing F5 key equivalent command idc.decompile_here(idc.here()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

闽农qq:994955138

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值