IDA,很好很强大

最新推荐文章于 2025-06-18 11:08:58 发布
最新推荐文章于 2025-06-18 11:08:58 发布
阅读量7.3k 收藏 1
点赞数 1
本文详细对比了使用不同编译器(MinGW与VS2010)编译同一C++代码段后,通过IDA Pro进行反编译的结果差异。主要关注了函数与变量命名的变化,以及反编译效率与可读性的提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


IDA,这款可以把程序反编译成C语言的东西。。

我用我们老师C++课上留的一道小学奥赛水平的弱智题的程序代码为例,先用MinGW编译,结果用IDA反编译出了几千个函数,全都是sub_加编号的名称,每一个都很短,变量名都是v1、v2等等的,一点也看不懂,我甚至连主函数在哪里都找不到。

然后又用VS2010编译,再反编译,令我大开眼界,函数名、变量名全能被正确地反编译出来,主程序反编译得也非常漂亮(那道题我就写了一个主函数)。

给大家展示下,

源程序的主函数:

int main(void){
    now = tail = 0;
    stk[0] = "http://www.acm.org/";
    while ((cin >> in)&&(in[0] != 'Q')){
        if (in[0] == 'V')    {
            now += 1;

            cin >> stk[now];
            cout << stk[now] << endl;

            tail = now;
        };

        if (in[0] == 'B')   {
            if (now == 0){
                cout << "Ignored" << endl;
            }else{
                -- now;
                cout << stk[now] << endl;
            };
        };

        if (in[0] == 'F')   {
            if (now == tail){
                cout << "Ignored" << endl;
            }else{
                ++ now;
                cout << stk[now] << endl;
            };
        };
    };

    return 0;
};

用VS2010编译,然后反编译出的主函数:

int __cdecl main()
{
int v0; // eax@1
int *v1; // eax@2
int *v2; // eax@5
char v3; // zf@7
int v4; // eax@7
int v5; // eax@8
int *v6; // ecx@9
int v7; // eax@13
int *v8; // ecx@16
int v9; // eax@20
int v10; // eax@23
void *v12; // [sp-4h] [bp-Ch]@20

tail = 0;
now = 0;
std__basic_string_char_std__char_traits_char__std__allocator_char_____assign();
v0 = std__operator___char_std__char_traits_char__std__allocator_char____0(std__cin);
if ( (*(_DWORD *)(*(_DWORD *)(*(_DWORD *)v0 + 4) + v0 + 12) & 6) == 0 ? v0 + *(_DWORD *)(*(_DWORD *)v0 + 4) : 0 )
{
    do
    {
      v1 = (int *)in;
      if ( (unsigned int)dword_405098 < 0x10 )
        v1 = &in;
      if ( *(_BYTE *)v1 == 81 )
        break;
      v2 = (int *)in;
      if ( (unsigned int)dword_405098 < 0x10 )
        v2 = &in;
      v3 = *(_BYTE *)v2 == 86;
      v4 = now;
      if ( v3 )
      {
        ++now;
        std__operator___char_std__char_traits_char__std__allocator_char____0(std__cin);
        v5 = std__operator___char_std__char_traits_char__std__allocator_char_(std__cout, &stk + 7 * now);
        std__basic_ostream_char_std__char_traits_char____operator__(v5, std__endl);
        v4 = now;
        tail = now;
      }
      v6 = (int *)in;
      if ( (unsigned int)dword_405098 < 0x10 )
        v6 = &in;
      if ( *(_BYTE *)v6 == 66 )
      {
        if ( v4 )
        {
          now = v4 - 1;
          v7 = std__operator___char_std__char_traits_char__std__allocator_char_(std__cout, &stk + 7 * now);
        }
        else
        {
          v7 = std__operator___std__char_traits_char_(std__cout);
        }
        std__basic_ostream_char_std__char_traits_char____operator__(v7, std__endl);
        v4 = now;
      }
      v8 = (int *)in;
      if ( (unsigned int)dword_405098 < 0x10 )
        v8 = &in;
      if ( *(_BYTE *)v8 == 70 )
      {
        if ( v4 == tail )
        {
          v12 = std__endl;
          v9 = std__operator___std__char_traits_char_(std__cout);
        }
        else
        {
          v12 = std__endl;
          now = v4 + 1;
          v9 = std__operator___char_std__char_traits_char__std__allocator_char_(std__cout, &stk + 7 * now);
        }
        std__basic_ostream_char_std__char_traits_char____operator__(v9, v12);
      }
      v10 = std__operator___char_std__char_traits_char__std__allocator_char____0(std__cin);
    }
    while ( (*(_DWORD *)(*(_DWORD *)(*(_DWORD *)v10 + 4) + v10 + 12) & 6) == 0 ? v10 + *(_DWORD *)(*(_DWORD *)v10 + 4) : 0 );
}
return 0;
}

可以看出多出了很多临时变量,那些多数是寄存器变量,此外把C++的代码全部反编译成了C的代码。。

另外,刚刚找到了MinGW编译出的主函数,反编译完的不太一样,可以和VS的对比一下:

int __cdecl sub_4015D0()
{
int v0; // eax@2
int v2; // eax@4
char v3; // dl@6
int v4; // eax@17
int v5; // ebx@17
int v6; // esi@17
int v7; // eax@17
char v8; // al@19
int v9; // eax@20
int v10; // eax@22
int v11; // ebx@22
char v12; // al@24
int v13; // eax@25
int v14; // eax@26
int v15; // ebx@26
int v16; // esi@26
int v17; // eax@26
char v18; // al@28
int v19; // eax@29
int v20; // eax@30
int v21; // ebx@30
int v22; // esi@30
int v23; // eax@30
char v24; // al@32
int v25; // eax@33
int v26; // eax@38
int v27; // ebx@38
char v28; // al@40
int v29; // eax@41

sub_413960();
dword_4741B8 = 0;
dword_4741BC = 0;
sub_449910(dword_474020, "http://www.acm.org/", 19);
while ( 1 )
{
    v0 = sub_40566C(&dword_4741E0, &dword_4741B4);
    if ( *(_BYTE *)(v0 + *(_DWORD *)(*(_DWORD *)v0 - 12) + 20) & 5 )
      return 0;
    v2 = dword_4741B4;
    if ( *(_DWORD *)(dword_4741B4 - 4) >= 0 )
    {
      sub_448C58(&dword_4741B4);
      v2 = dword_4741B4;
    }
    v3 = *(_BYTE *)v2;
    if ( *(_BYTE *)v2 == 81 )
      return 0;
    if ( *(_DWORD *)(v2 - 4) >= 0 )
    {
      sub_448C58(&dword_4741B4);
      v2 = dword_4741B4;
      v3 = *(_BYTE *)dword_4741B4;
    }
    if ( v3 == 86 )
    {
      ++dword_4741BC;
      sub_40566C(&dword_4741E0, 4 * dword_4741BC + 4669472);
      v23 = sub_466D2C(&dword_474280, dword_474020[dword_4741BC], *(_DWORD *)(dword_474020[dword_4741BC] - 12));
      v21 = v23;
      v20 = *(_DWORD *)(*(_DWORD *)v23 - 12);
      v22 = *(_DWORD *)(v21 + v20 + 124);
      if ( !v22 )
        goto LABEL_43;
      if ( *(_BYTE *)(v22 + 28) )
      {
        v24 = *(_BYTE *)(v22 + 39);
      }
      else
      {
        sub_40623C(*(_DWORD *)(v21 + v20 + 124));
        v24 = (*(int (__cdecl **)(int, signed int))(*(_DWORD *)v22 + 24))(v22, 10);
      }
      v25 = sub_4464E0(v21, v24);
      sub_4466CC(v25);
      dword_4741B8 = dword_4741BC;
      v2 = dword_4741B4;
    }
    if ( *(_DWORD *)(v2 - 4) >= 0 )
    {
      sub_448C58(&dword_4741B4);
      v2 = dword_4741B4;
    }
    if ( *(_BYTE *)v2 == 66 )
    {
      if ( dword_4741BC )
      {
        --dword_4741BC;
        v17 = sub_466D2C(&dword_474280, dword_474020[dword_4741BC], *(_DWORD *)(dword_474020[dword_4741BC] - 12));
        v15 = v17;
        v14 = *(_DWORD *)(*(_DWORD *)v17 - 12);
        v16 = *(_DWORD *)(v15 + v14 + 124);
        if ( !v16 )
          goto LABEL_43;
        if ( *(_BYTE *)(v16 + 28) )
        {
          v18 = *(_BYTE *)(v16 + 39);
        }
        else
        {
          sub_40623C(*(_DWORD *)(v15 + v14 + 124));
          v18 = (*(int (__cdecl **)(int, signed int))(*(_DWORD *)v16 + 24))(v16, 10);
        }
        v19 = sub_4464E0(v15, v18);
        sub_4466CC(v19);
        v2 = dword_4741B4;
      }
      else
      {
        sub_466D2C(&dword_474280, "Ignored", 7);
        v10 = *(_DWORD *)(dword_474280 - 12);
        v11 = *(int *)((char *)&dword_4742FC + v10);
        if ( !v11 )
          goto LABEL_43;
        if ( *(_BYTE *)(v11 + 28) )
        {
          v12 = *(_BYTE *)(v11 + 39);
        }
        else
        {
          sub_40623C(*(int *)((char *)&dword_4742FC + v10));
          v12 = (*(int (__cdecl **)(int, signed int))(*(_DWORD *)v11 + 24))(v11, 10);
        }
        v13 = sub_4464E0(&dword_474280, v12);
        sub_4466CC(v13);
        v2 = dword_4741B4;
      }
    }
    if ( *(_DWORD *)(v2 - 4) >= 0 )
    {
      sub_448C58(&dword_4741B4);
      v2 = dword_4741B4;
    }
    if ( *(_BYTE *)v2 == 70 )
    {
      if ( dword_4741BC == dword_4741B8 )
      {
        sub_466D2C(&dword_474280, "Ignored", 7);
        v26 = *(_DWORD *)(dword_474280 - 12);
        v27 = *(int *)((char *)&dword_4742FC + v26);
        if ( !v27 )
LABEL_43:
          sub_406800();
        if ( *(_BYTE *)(v27 + 28) )
        {
          v28 = *(_BYTE *)(v27 + 39);
        }
        else
        {
          sub_40623C(*(int *)((char *)&dword_4742FC + v26));
          v28 = (*(int (__cdecl **)(int, signed int))(*(_DWORD *)v27 + 24))(v27, 10);
        }
        v29 = sub_4464E0(&dword_474280, v28);
        sub_4466CC(v29);
      }
      else
      {
        ++dword_4741BC;
        v7 = sub_466D2C(&dword_474280, dword_474020[dword_4741BC], *(_DWORD *)(dword_474020[dword_4741BC] - 12));
        v5 = v7;
        v4 = *(_DWORD *)(*(_DWORD *)v7 - 12);
        v6 = *(_DWORD *)(v5 + v4 + 124);
        if ( !v6 )
          goto LABEL_43;
        if ( *(_BYTE *)(v6 + 28) )
        {
          v8 = *(_BYTE *)(v6 + 39);
        }
        else
        {
          sub_40623C(*(_DWORD *)(v5 + v4 + 124));
          v8 = (*(int (__cdecl **)(int, signed int))(*(_DWORD *)v6 + 24))(v6, 10);
        }
        v9 = sub_4464E0(v5, v8);
        sub_4466CC(v9);
      }
    }
}
}

CodingSir
关注
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,快速定位安卓app程序底层C++库的崩溃问题
热门推荐
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题。
go_parser:IDAPro的另一个Golang二进制解析器
03-19
IDAPro的另一个Golang二进制解析器 工程师| :light_bulb:注意: 此主分支是用Python2 for IDAPython编写的,仅在IDA7.2 / IDA7.0上进行了测试。如果您将IDAPython与Python3和更高版本的IDAPro结合使用,请对go_parser使用。 受和启发,我为IDAPro编写了更完整的Go二进制分析工具。 主要特点: 在Go二进制文件中找到并解析firstmoduledata结构,并对每个字段进行注释; 根据firstmoduledata找到pclntab(PC线路表),并对其进行解析。然后在pclntab中查找和解析并恢复函数名称和源文件路径。源文件路径将打印在IDAPro的输出窗口中; 解析字符串和字符串指针,对每个字符串进行注释,对每个字符串指针进行dref ; 据firstmoduledata,找到每个类型并解析它,对于类型的每个属性,这将是有
MacOS通过IDA反编译GO并简单修改二进制文件
womanbai7547的博客
06-18 4556
目录索引MacOS通过IDA反编译GO并简单修改二进制文件操作步骤下载安装IDA PRO通过IDA打开二进制文件通过IDAGolangHelper显示方法名称找到汇编语言位置检查参考 MacOS通过IDA反编译GO并简单修改二进制文件 所需工具:IDA PRO 7.0、IDA7.0_SP、 公司有一个GO语言开发的系统丢失了源码,只剩下一个可执行的二进制文件,现在需要简单修改其中的逻辑,通过一些搜索和尝试终于实现了,本文将介绍其中的操作过程。 操作步骤 下载安装IDA PRO 参考 IDA Pro 7.
X86C++反汇编01.IDA和提取签名
最新发布
weixin_36867253的博客
06-18 30
IDA可以识别函数名以及参数等信息,IDA是用过SIG文件识别已知函数信息。在安装IDA的时候,已经将常用的库制作为SIG文件,放置在安装目录的SIG文件夹下。函数签名:SIG文件也成为签名文件作用:利用此功能可识别第三方提供的库函数,从而简化分析流程以低版本C库函数为例。
IDA 介绍和使用
mayue_web的博客
07-03 6327
IDA的新手入门指南IDA的反编译插件hexrays decompiler逆向分析工具IDA与开源工具Ghidra、Cutter对比测评IDA(Interactive DisAssembler)是一款功能强大的反汇编工具,用于分析和逆向工程二进制文件。它被广泛用于软件漏洞分析、恶意代码分析、逆向工程等领域。以下是IDA的一些主要特点和功能:反汇编:IDA可以将二进制文件转换为易于阅读和理解的汇编代码。它支持多种处理器架构,包括x86、ARM、MIPS等。
一、IDA简介
生命不息 折腾不止
09-02 5312
IDA是 交互式反编译专业版,International disassemble professional,采用递归向下反编译器,目的是尽可能呈现接近原代码的代码; IDA分为windows版本、OS版本、Linux版本; IDA的目录结构:  1.1  IDA界面 打开IDA Pro 6.5,为进入IDA界面提供三种启动选项,分别是New(新建),Go(运行),Previous(上一个...
信息安全 逆向工具 IDAPro 7.2
10-20
这些改进使得IDAPRO 7.2在分析复杂软件时更加强大和直观,极大地提高了工作效率。 安装IDAPRO 7.2是一个相对简单的过程。用户首先需要从官方渠道或可靠来源下载安装包。压缩包通常包含了安装程序以及可能的附加组件...
使用IDA查看汇编代码上下文去辅助排查C++软件异常问题
dvlinker的技术专栏
02-08 1万+
在部分场景下仅使用Windbg分析还不够,还需要使用IDA工具去查看发生异常的模块的汇编代码上下文,将C++源码与汇编代码结合着看,去找出引发问题的原因。
使用反汇编工具IDA查看动态库中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序底层C++库崩溃问题
dvlinker的技术专栏
01-09 2万+
本文详细介绍如何使用IDA反汇编工具去查看二进制文件中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序遇到的底层库崩溃问题。
idaref:IDA Pro指令参考插件
04-14
爱达Ref IDA Pro完整指令参考插件-就像自动注释一样,但很有用。 我通常很擅长弄清各种英特尔指令的作用。 但是,有时我需要知道一些精确的细节(即SUB的确切副作用)或遇到一个罕见的说明。 然后,我打破了思路,不得不挖出参考手册。 是什么让我在想: IDA为什么不能只给我完整的文档? 输入IdaRef: 该插件将监视光标(ScreenEA)的位置,并显示说明的完整文档。 目前,它仅支持x86-64,ARM和MIPS 32位,但是添加对其他体系结构的支持相对容易。 用法 只需签出或下载存储库,然后将其安装到您的IDA插件目录: idaref.py -> <ida>/plugins/idaref.py arm.sql -> <ida>/plugins/archs/arm.sql x86-64.sql -> <ida>/plugins/archs/x8
IDA的简单入门使用
wlmt666的博客
11-15 4891
刚刚入门逆向,对这方面知识近乎于0,因此写着一篇笔记,记载自己不懂的和搞会的,以供日后查阅使用。在下才疏学浅,虽然本文内容较为基础,但是难免有不对之处,敬请指正。
菜鸟的逆向工程学习之路——逆向工具IDA的使用
m0_74762365的博客
10-21 2万+
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称为 IDA Pro。就其本质而言,IDA 是一种递归下降反汇编器,是个逆向分析的神器之一,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,是安全分析人士不可缺少的利器!
go语言文件逆向认知篇(ida7.6直接绕行)
qq_31932681的博客
04-12 5138
1.go语言内置一些复杂的数据类型,并支持类型的组合与方法绑定,这些复杂类型数据在汇编层独特的表示方式和用法。go二进制文件的string数据不是传统的以0x00结尾的C-String,而是用(startAddress,Length)两个元素表示一个string数据;比如一个slice数据要由(StartAddress,Length,Capacity)三个元素表示。在汇编代码中,给一个函数传一个string类型的参数,其实要传两个值;给一个函数传一个slice类型的参数,其实要传3个值。 2.独特的调用约定
IDA pro使用笔记
qq_42208662的博客
10-18 1268
IDA Pro使用笔记
IDA调试干货
box_kun的博客
03-02 3486
1、 IDA中各种命名前缀(sub、loc、offset等)的含义 IDA自动生成假名字。他们用于表示子函数,程序地址和数据。根据不同的类型和值假名字有不同前缀 sub_ 指令和子函数起点 locret_ 返回指令 loc_ 指令 off_ 数据,包含偏移量 seg_ 数据,包含段地址值 asc_ 数据,ASCII字符串 byte_ 数据,字节(或字节数组) word_ 数据,16位数据(或字数组) dword_ 数据,32位数据(或双字数组) qword_ 数据,64位数据(或4字数组) f.
2019年第三届红帽杯线上赛wp
SkYe's Blog
11-16 1658
2019年第三届红帽杯线上赛wp PWN three IDA打开之后,函数名都是sub_xxx,然后通过nc官方部署的程序(或本地在程序所在目录创建flag文件后),获得程序中会出现的字符串定位到了重要函数,我用的是字符串Maybe is good。 贴出来一下重要函数对应的内存地址: 函数名(已重命名) 内存地址 main 0x08048CA8 load_flag 0x080...
IDA辅助逆向工程基础教程
"一个简单的IDA教程,通过实例教学如何使用IDA进行基本的分析操作,适合...对于想要踏入逆向工程领域的初学者,这是一个很好的起点。同时,对于经验丰富的逆向工程师,这个教程也能作为回顾基础知识和技巧的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值