ida pro 使用F5碰到的陷阱与总结

最新推荐文章于 2025-10-17 11:26:24 发布
原创 最新推荐文章于 2025-10-17 11:26:24 发布 · 3.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文讲述了在破解Flare-7的Crackme过程中,作者发现F5插件未能正确逆向loc_804c3c4处的内存循环技巧,导致错误的算法实现。通过手动分析汇编代码,揭示了F5对特定代码段的翻译缺陷,并强调了在面对复杂代码时人工检查的重要性。

姑且称之为“陷阱”吧,如下,直接上代码:

最近在做Flare-7 的break这道题,算是对linux下没有采用vm保护技术的crackme的一种挑战,遇到了下述的代码:

上图红色部分,明显执行时会报错;这是break这个crackme采取的一种机制,sub_0804C369这个进程是有另一个进程attach它的,并接收它的信号,进行相应的处理。上图红色部分会报SIGSEGV信号,查看调试它的进程的代码,如下:

 可以看到,V34是栈保存的下一条指令,v33就是第一张图中的&loc_804c3c4,v32保存的是第一张图中的&v5,初始是0。那么调试进程的第二张图的代码的意思就是跳转回loc_804c3c4进行执行,直到第16次碰到MEMORY[0](&loc_804C3C4, &v5),则结束循环。

这就是这个crackme与常规程序不一样的地方之一,

我们要说的F5出的问题在哪呢? 这也是我还太缺乏调试经验,我们可以看到loc_804c3c4这里的汇编代码是这样子的:

 

而我们之前在第一张图里看到的F5自动逆向过来的伪代码是chmod(a4,back)。

所以说,这里F5插件有一些指令没有做逆向,或者他可能认为无用忽略了吧:)害的我这逆向新入门的新手,对着F5代码写了个计算这个crackme的password中间部分的算法,结果不是希望得到的。

--------------------------------------------------------------------------------------------------------------------------

接着上面的,经过测试,应该是因为这段代码中一开始[ebp+v5]=0,所以后面那些指令计算的结果都是0,F5翻译过来也没有必要。因为F5不会帮我们去自动翻译那个MEMORY[0](&loc_804C3C4, &v5)循环,所以它确实没必要翻译这一段。这也告诉我们,以后如果遇到这种技巧,还是要人工看一下汇编代码,才能做到对机器语言翻译的正确。如下图,

把[ebp+v5]手动改为1,

 再按F5看一下,结果就发生变化了

因为F5识别不了这种循环,所以只能翻译成这个样子了。总之,F5是没有问题的。

 

feekee
关注
解决 IDA 防F5转伪C笔记
Codeooo 博客
03-16 1万+
可以使用之前推荐网站,进站指令码和汇编转化后,进行更改hex , F2保存;找到x9的地址,然后减去基地址也就是首地址,得到便宜地址;hook后地址,我们可以使用keyPath 去更改跳转;先使用 ADRP进站申明后,再清空后几位,进行 ADD;某app砸壳后放到IDA,根据堆栈查到该位置如下;BR 调到后面 x8 x9地址,汇编指令;后面无用指令,直接nop;
ida pro 使用F5碰到陷阱总结(二)
feekee的自留研习地
10-30 1251
前面写遇到了一个陷阱, 这里记录一下另一个v5(&loc_804C257, &v4);(其中v5=0),是在函数0804c217中, 我们看下F5自动翻译会出现哪些问题,如上。 那么,我们把v5(&loc_804C257, &v4)这段汇编代码改一下,让F5再运行一遍,看一下结果。 最后一张图是重新执行F5后的伪代码,这里pivot_root(,)的第二个参数变成了flags,而不是原先的a1。这估计是因为F5插件在汇编代码更改以后,意识到了fl...
IDA使用指南
最新发布
csdn2990的博客
10-17 494
摘要:本文介绍了IDA Pro逆向分析工具的常用操作技巧,包括快捷键使用、交叉引用查找、API调用搜索、资源查看方法、调试断点设置、内存查看方式、汇编指令编辑及补丁保存等。重点讲解了逆向分析中的关键操作,如堆栈回溯分析、地址跳转、注释添加、断点管理等实用功能,并详细说明了IDA中不同颜色箭头的含义及其在程序流程分析中的应用。这些操作技巧可有效提升逆向分析效率,帮助分析人员快速定位关键代码。
跟着王哥学逆向——工具篇(IDA Pro)
热门推荐
qq_52642385的博客
01-16 5万+
交互式反汇编器专业版(Interactive Disassembler Professional)常称为 IDA ProIDA 是一种递归下降反汇编器,是个逆向分析的神器之一,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,是安全分析人士不可缺少的利器!IDA是Hex-Rays公司的旗舰产品,公司位于比利时,能写出这种软件的人都是超级大牛。这里以BUUCTF里面一道easyre题来展开对IDA使用说明IDA的主窗口就如下图所示。
IDA Pro 5.5 带 F5 插件
05-22
IDA Pro 5.5 EXE/DLL文件反编译工具,自带F5插件,带破解工具,有说明文件
IDA按F5反汇编伪代码错误Please use ida (not ida64) to decompile the current file
天道酬勤,地道酬善,人道酬诚,商道酬信,业道酬精
02-21 5443
IDA不能F5反汇编成为伪代码,提示WarningPlease use ida (not ida64) to decompile the current file不给我转伪代码,不让我用ida64,IDA按F5反汇编伪代码错误
精选资源
IDApro权威指南》个人学习笔记
10-11
如果遇到不知道含义的汇编指令,可以使用IDApro的自动注释功能来识别它。 函数块 IDApro支持函数块操作,包括函数块的声明、初始化、访问等。IDApro可以自动识别函数块的类型、大小、元素类型等信息。 编译器优化...
精选资源
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
逆向工程技术中的IDA Pro深入解析实用技巧教程
03-25
使用场景及目标:本资料可用于深入了解IDA Pro的各种特性和操作方式,掌握逆向工程的基础概念实践方法;通过实际案例操作,提升对加壳程序、恶意软件及其他二进制程序进行分析的能力。最终目标是培养学员在应对...
IDA Pro权威指南:反汇编逆向工程必备
08-22
IDA Pro权威指南:反汇编逆向工程必备》是世界上最受欢迎的反汇编程序IDA Pro的非官方指南。本书由Chris Eagle编写,深入浅出地讲解了IDA Pro的各项功能,从基础操作到高级应用,旨在帮助读者全面掌握IDA Pro。...
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言
12-28
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言 将压缩包解压,plugins中的文件放入IDA安装目录中的plugins文件夹,替换其余文件。 在打开时直接OK,选择文件,按F5同时双击函数,即可得到对应C语言代码
IDA小技巧之——F5不能出现伪代码
NoOneGroup
10-04 4万+
博客已经转移 https://noone-hub.github.io/ 打开ida,打开一个文件,我用的是安恒月赛的一个文件,出现 postive sp value has been found ,这个问题其实干扰我很久了,然后网上的很多说平衡堆栈,平衡平衡,发觉一个很长的函数,用手去计算堆栈吗,显然不是的,网上又没解释清楚,然后今天我搞懂了,就分享一下,进入正文: 首先打开optio...
那些年使用IDA的事——防止F5错误优化
雪一梦的博客
10-04 1万+
我们做逆向的知道IDA这一神器,但是神器也会犯错,使用神器进阶的时候这时候就需要人工来辅助,下面就IDA F5中一个问题做记录。。 问题篇: 什么问题呢? 我们就拿鬼哥之前那个等级破解那个样本,我们放在IDA中看核心.so文件,看汇编代码: 然而用F5看到的伪C代码是: 显然是不对的,没有对语句分析出来,接下来我们就系问题解决。。 原理篇: 由于Java_com_gg
IDA F5 增强插件,还我源代码(一)
fenfei331的博客
07-12 4187
一、目标 许多年以后,面对IDA的F5,奋飞将会想起,老李老板甩给他一本80x86汇编的那个遥远的下午。 那时的App的名字还叫exe、com。Asm程序员最后的荣光,就是面对黑洞洞的屏幕敲下DEBUG的那个不眠之夜。 后来App改名叫pe、elf了。IDA F5一下就是C程序员的狂欢,Asm程序员只能黯淡落幕了。默默的抱起小李老板新买的《C语言程序设计》。 时代的车轮呼啸而过,瑞士的同行给我们上了一课,ollvm一下,你妈都认不出来你了。 ollvm纪元都已经10年了,现在的混淆只有更狠,没有最狠。
IDA】按下 F5 查看伪代码时报错:Decompilation failure: 80483F0: cloud: Server is not available
HEX9CF的技术博客
11-14 857
并非所有地区的网络环境都能通过这个方法解决。可能会因地区和网络环境的不同而有所差异。断开当前的网络连接,尝试连接手机热点,并切换到中国电信流量数据网络。这个问题可能是由于网络环境问题引起的。再次尝试按下 F5,不再报错。
IDA按F5不能出现伪代码
m0_63790435的博客
11-04 4817
解决方法:先右键点击“代码”,再右键点击“创建函数”,在按 F5 就可以查看伪代码了。
IDA pro一键反汇编F5不能用或电脑键盘亮度快捷键冲突问题
2302_79275647的博客
11-19 852
按住键盘上的【Fn】【Esc】键,退出电脑快捷功能,这种模式下按F5就可以实现一键反汇编功能了;如用完可以再按一次【Fn+Esc】,这样就回到了电脑最初的快捷键模式。最快的解决方法是参照以下这篇帖子。
IDA报错Unexpected fatal error while intitailizing Python runtime
Armey的博客
06-19 1万+
IDA报错:Unexpected fatal error while intitailizing Python runtime. Please run idapyswitch to confirm or change the used Python runtime
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值