读<<IDA pro权威指南>>之动态计算目标地址

最新推荐文章于 2024-04-17 13:20:20 发布
最新推荐文章于 2024-04-17 13:20:20 发布
阅读量552 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Old_Yu/article/details/73729525
本文介绍了一种恶意软件利用Windows异常处理机制(SEH)的技术。通过故意触发除0异常,恶意软件能够操纵寄存器状态,隐藏其真实控制流,使逆向工程更加困难。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<<IDA pro权威指南>> p348页,另一种技巧常用于面向Windows的恶意软件中,它配置一个异常处理程序,并有意触发一个异常,然后在处理异常时操纵进程的寄存器状态。

下面的例子被tElock反逆向工程工具用于隐藏程序的真实控制流。

00535FC2    E8 00000000     call    00535FC7
00535FC7    5D              pop     ebp                              ;相当于ebp = 00535FC7
00535FC8    8D45 46         lea     eax, dword ptr [ebp+46]          ;0053600D
00535FCB    45              inc     ebp
00535FCC    50              push    eax                              ; push 后,esp = 0018FB58
00535FCD    33C0            xor     eax, eax
00535FCF    64:FF30         push    dword ptr fs:[eax]               ; push 后,ESP = 0018FB54
00535FD2    64:8920         mov     dword ptr fs:[eax], esp          ;fs:[0] = 0018FB54
00535FD5    90              nop
00535FD6    F7F1            div     ecx                              ;引发除0异常
00535FD8    0000            add     byte ptr [eax], al
00535FDA    0000            add     byte ptr [eax], al
00535FDC    90              nop

执行完 00535FD6后,程序引发异常,堆栈如下:

可以看到0018FB54栈上存放指向一个SEH记录的指针

             0018FB58指向一个SE处理程序的指针

而这个刚好满足_EXCEPTION_REGISTRATION_RECORD结构

0:003> dt _EXCEPTION_REGISTRATION_RECORD

ntdll!_EXCEPTION_REGISTRATION_RECORD

   +0x000 Next             : Ptr32 _EXCEPTION_REGISTRATION_RECORD

   +0x004 Handler          : Ptr32     _EXCEPTION_DISPOSITION 

也即0053600D为事先注册的SEH异常处理程序的地址,0018FB5C为指向下一个SEH记录的指针

这样也达到了必须计算才能跟踪程序流程的目的,隐藏了程序的真实控制流。

Old_Yu
关注
ida 遇到的 sub_地址 问题
Flyour的博客
06-17 6971
在使用ida 分析 .sys文件时,发现几乎所有的函数名都是 sub_地址 的形式,和别人的不一样,一开始没想明白为什么? 后来查了一下,发现是因为.sys文件里没有符号表导致的。 为什么会没有符号表呢?一般的可执行文件或库文件都会有符号表,但符号表会占据一定的体积。所以为了减小内核的体积,会把符号表去除。 要想进行分析,我们就要拿到符号表,而windows 的符号表其实可以从网上下载...
<<IDA pro权威指南>>之动态计算目标地址
chengkou8481的博客
03-29 326
&lt;&lt;IDA pro权威指南&gt;&gt; p348页,另一种技巧常用于面向Windows的恶意软件中,它配置一个异常处理程序,并有意触发一个异常,然后在处理异常时操纵进程的寄存器状态。 下面的例子被tElock反逆向工程工具用于隐藏程序的真实控制流。 00535FC2...
【逆向基础】四、IDA使用技巧随记
幸福之家的博客
03-21 2008
计算PE文件偏移地址
IDA使用学习_ida pro支持哪些数据的显示格式(1),2024年网络安全网络编程总结篇
最新发布
2301_76328475的博客
04-17 642
第三部分对应的就是整体程序或者某个函数的图标概述形式,可以大体把握功能和结构的走向。对整体的脱壳逆向有很大的帮助。第四部分主要可以显示以下6部分信息:(4)Enums(5)Imports(6)Exports其中IDA View-A表示的就是某个函数的图标架构,可以查看程序的逻辑树形图,把程序的结构更人性化地显示出来,方便我们的分析。具体表示形式,上文中有截图可参考。在Hex View-1中可以查看16进制代码,方便定位代码后使用其他工具修改,具体表示如下图所示:
IDA静态动态逆向分析基础
哆啦安全
01-01 1960
1.JDB和IDA调试步骤2 (1).JDB调试步骤2 (2).IDA调试步骤2 (3).定位函数2 (4).开始调试2 2.动态调试Android so库函数的方法2 3.strace查看系统调用3 4.IDA静态动态分析的快捷键3 5.gdb调试4 (1).准备调试4 (2).修改权限5 (3).端口转发5 (4).ps命令查询PID5 (5).gdbserverattach调试进程5 (6).运行gdb.exe5 6.常见工具5 ...
IDA---取地址
hgy413的专栏
10-12 743
假定基地址为sobase,那么入参就是。
IDApro权威指南》个人学习笔记
10-11
IDApro权威指南》个人学习笔记是关于IDApro反汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款功能强大的反汇编工具,它可以对...
IDA Pro权威指南(第二版).pdf
02-17
IDA Pro权威指南(第二版).pdf 《IDA Pro指南(第2版)》共分为六部分,首先介绍了反汇编与逆向工程的基本信息和IDA Pro的背景知识,接着讨论了IDA Pro的基本用法和高级用法,然后讲解了其高扩展性及其在安全领域的...
IDA Pro权威指南 随书源码
10-24
IDA Pro(交互式反汇编器专业版...在IDA Pr0创建者Ilfak的协助下问世的这《IDA Pro权威指南》,完美地弥补了这一缺憾。C卜¨1s的理论被业界公认为是权威且令人信服的。而他的模拟器也是公开发布的IDA插件中最棒的一款。
IDA Pro 权威指南(第二版) (高清,带标签)
09-26
IDA Pro 权威指南(第二版) (高清,带标签)
IDA Pro权威指南 (第2版) + 源码 + 深度探索C++对象模型 2012 中文
05-14
IDA Pro权威指南 (第2版)图书附带资料 IDA Pro权威指南 (第2版)图书附带资料 IDA Pro权威指南 (第2版)图书附带资料
1.IDA-基本操作(改变Image Base地址、打开、保存IDA的不同方式)
热门推荐
hgy413的专栏
09-01 1万+
启动                启动IDA,会出现以下对话框: New:启动一个标准的File Open对话框,让你选择 Go:打开一个空白工作区,这时只需把二进制文件直接拖入到IDA工作区 Previous:打开最近用过的文件中一个   加载文件                    拖入文件后,会弹出一个加载对话框,如果未识别文件,则默认为Binary File为唯一选项
ida显示地址
weixin_45780275的博客
11-10 4973
ida显示地址 显示这样是因为用的IDA Pro (64-bit)
0day安全阅1
operationqaq的博客
11-08 335
0day学习
idaIDA工具常见利用
qcwwww的博客
07-11 1252
整理一下个人的常用命令:shift + 12 显示字符串按下回车上面的 \ ,转义符,就可隐藏ida对变量类型的标注/ ,在该行添加注释双击变量看变量地址或者进入函数ctrl+s 看各种区段的地址F5一键反汇编x:对变量或函数按x查看上级调用n:对变量按下 n ,对变量进行重命名g:跳转到程序中的指定地址或者指定函数名ALT+T:搜索文本ALT+B:搜索16进制粉红色标识的为libc中的函数 白色标识的为代码中的函数C语言数组和指针: 例:list[1] = *(list +1) 即数组+下标表示
4.IDA-导航(跳转到地址、导航按钮、栈帧、调用约定、局部变量布局、IDA的栈视图)
hgy413的专栏
11-07 8432
跳转到地址 使用Jump▶Jump to Address命令或在处于活动状态的反汇编窗口中按下热键G,均可以打开Jump to Address对话框,如果把这个对话框看成Go对话框,可能有助于你记住相关的热键。 IDA会记住你在这个对话框中输入的值,并通过一个下拉列表显示,以方便你随后使用 导航按钮(导航历史) 导航按钮,每个按钮旁边还有一个历史记录下拉列表,你
B与BL跳转指令目标地址计算方法
MUYI的博客
06-02 9496
1、关于B(跳转指令)与BL(带返回的跳转指令):B指令与BL指令均能使指令跳转到目标地址,两个指令和目标地址处的指令都属于ARM指令集。不同的是,B指令只会执行跳转操作;BL指令在跳转的同时还会将PC寄存器的值保存到LR寄存器中。指令的编码格式:指令的语法格式:B{L}{&lt;cond&gt;}&lt;target_address&gt;其中:●    L决定是否保存返回地址。但有L时,当前P...
ida idc函数列表全集
fishmai的专栏
08-31 5185
下面是函数描述信息中的约定: 'ea' 线性地址 'success' 0表示函数失败;反之为1 'void'表示函数返回的是没有意义的值(总是0) AddBptEx AddBpt AddCodeXref AddConstEx AddEntryPoint AddEnum AddHotkey AddSourceFile AddStrucEx
利用IDA Python静态分析函数调用路径
weixin_34095889的博客
09-28 1562
在挖掘设备的固件漏洞时,会面临没有源代码、无法动态跟踪调试的情况,此时就需要进行静态的人工分析。在静态人工分析过程中,往往需要围绕危险函数、用户输入提取需要重点分析的执行路径,以有效缩小分析范围。本文利用IDA Python脚本,实现了自动提取函数正、反向调用关系的功能,可有效辅助分析危险函数调用路径,用户输入流向等。 一、问题描述近期在研究某款设备,由于该设备使用MIPS架构,IDA Pro的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值