IDA Pro-代码结构识别

于 2024-09-22 11:41:27 发布
阅读量476 收藏 3
点赞数 4
分类专栏: 二进制分析 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29647709/article/details/142432502
版权

Lab06-01.exe分析

1.由main 函数调用的唯一子过程中发现的主要代码结构是什么?

if语句结构
找到main函数中唯一调用的函数,并进入
在这里插入图片描述
判断网络是否链接成功,如果返回0走右边未连接成功
在这里插入图片描述

2.位于0x40105F的子过程是什么?

将字符串压栈,猜测其可能是输出
在这里插入图片描述

3.这个程序的目的是什么?

检测网络的连接状态

Lab06-02.exe分析

1.main 函数调用的第一个子过程执行了什么操作?

网络连接状态的判断
在这里插入图片描述

2.位于 0x40117F 的子过程是什么?

输出函数
在这里插入图片描述

在这里插入图片描述

3.被 main 函数调用的第二个子过程做了什么?

找到第2个子过程
在这里插入图片描述
打开网页连接
在这里插入图片描述
读取内容
在这里插入图片描述
如果休眠成功则60秒后自动退出
在这里插入图片描述

4.在这个子过程中使用了什么类型的代码结构?

if判断

5.在这个程序中有任何基于网络的指示吗?

连接网址和useragent设定
在这里插入图片描述

6.这个恶意代码的目的是什么?

判断是否有网络连接,如果连接则下载对应网页,成功的话则休眠60s并退出

Lab06-03.exe分析

1.比较在 main 函数与实验 6-2 的 main 函数的调用。从 main 中调用的新的函数是什么?

call sub_401130
在这里插入图片描述

2.这个新的函数使用的参数是什么?

两个参数
在这里插入图片描述
一个函数是eax,argv程序名;一个是esp上一个函数返回值
在这里插入图片描述

3.这个函数包含的主要代码结构是什么?

switch分支
在这里插入图片描述

4.这个函数能够做什么?

创建目录
在这里插入图片描述
复制文件
在这里插入图片描述
删除文件
在这里插入图片描述

创建自启动注册表
在这里插入图片描述

5.在这个恶意代码中有什么本地特征吗?

注册表操作
C盘cc.exe

6.这个恶意代码的目的是什么?

判断存在网络连接后写入注册表

Lab06-04.exe分析

1.在实验 6-3 和 6-4 的 main 函数中的调用之间的区别是什么?

2.什么新的代码结构已经被添加到 main中?

for循环

3.这个实验的解析 HTML的函数和前面实验中的那些有什么区别?

4.这个程序会运行多久?(假设它已经连接到互联网。)

24min分钟

5.在这个恶意代码中有什么新的基于网络的迹象吗?

和之前一样

6.这个恶意代码的目的是什么?

使用动态useragent下载网页

IDA Pro中定义未识别出来的结构体
H4ppyD0g的博客
09-24 488
IDA Pro中定义未识别出来的结构体
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
热门推荐
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
数据逆向(四)——结构体识别
蛛丝
08-12 2317
<br />结构体<br />       struct是由一系列具有相同类型或不同类型的数据构成的数据集合,也叫结构。它的实现方法上和数组是一样的,即每一个成员的访问是直接寻址方式。唯一的区别是,为了提高访问效率,成员无论类型为何,编译器将它们按照4字节对齐。<br /> <br />eg:struct test<br />       {<br />            char str;<br />            int i;<br />        };<br />       test
c#结构
记录点滴
09-23 543
结构可以帮助我们一次性声明多个不同类型的变量 语法: [ public ] struct 结构名 { _成员; // 通常称为字段 ··· ··· } 定义的位置: 与枚举类型enum一样,通常定义在命名空间下方,类的上方: 如: 下边小练习中,把结构与枚举相结合,在结构中,通过枚举来定义性别: namespace day_1 { //定义枚举 public enum Sex { fameil, meil } //.
每天一个IDA小技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
基于LLVM编译器的IDA自动结构体分析插件
如鹿渴慕泉水的专栏
04-13 1404
引用 这篇文章旨在介绍一款对基于LLVM的retdec开源反编译器工具进行二次开发的IDA自动结构体识别插件实现原理分析 文章目录引用简介源码分析LLVM编译器简介Retdec源码分析Klee源码分析IDA插件开发分析工具安装方法工具使用介绍工具支持环境源代码编译方法工具使用效果分析之前分析之后完整流程相关引用参与贡献 简介 笔者在一款基于LLVM编译器架构的retdec开源反编译器工具的基础上,融合了klee符号执行工具,通过符号执行(Symbolic Execution)引擎动态模拟反编译后的llv
转:IDA自定义结构体快捷键操作方法
zhangmiaoping23的专栏
03-21 3495
简单记录下,有时在分析漏洞时,以特定结构体去解析数据,更便于准确定位漏洞成因,尤其是文件格式的漏洞。   1、Shift + F1:打开本地类型; 2、insert:插入自定义的结构体; 3、Shift + F9:打开结构体; 4、Insert:添加上面创建的结构体; 5、选取相应数据,Alt + Q 将其上面的结构体进行解析 注:ALT+Q 只能识别结构体窗口(shif
IDA Pro7使用总结
liinux-Talk is cheap,show me the code.
12-30 1106
一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c++中复杂的重载后的函数名称 PE tools: 是一组用于分析Windows系统中正在运行的进程和可执行文件的工具 string: 可以用于直接搜索出elf文件中的所有字符串 参数-a 表示搜索整个文件,参数-t 可以显示出每一个字符串的偏移,参数-e 可以用于搜索更多的字符编码的字符串,如Unicode编码 strip: 可用于
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,快速定位安卓app程序底层C++库的崩溃问题
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题。
ida-pro 解密
最新发布
12-23
首先,需要打开要解密的文件,ida-pro能够识别并展示文件的汇编代码,以及包括函数、变量和控制流图在内的相关信息。 其次,需要分析文件的结构和逻辑,以便理解程序的运行过程和数据处理方式。这个过程可以通过ida...
加密与解密 调试篇 静态分析技术 (二)重命名/数据转换/字符串/数组/结构体
m0_64180167的博客
06-25 790
参考重命名是ida极好的一个功能可以把反汇编清单的默认名称改为有意义的名称增加可读性单击 + N 即可打开这个 sub_401120没有什么意义全部的 sub_401120都变为了 WndProc。
IDA使用说明
weixin_43665653的博客
10-03 1998
目录功能下载安装使用界面 功能 IDA是一款反汇编静态分析工具,将程序文件拖到IDA中,可以看到汇编代码。 下载 https://hex-rays.com/products/ida/support/download/ 安装 默认next,可以自己选择安装路径 使用 运行软件以后,通过vs编写一个程序,生成可执行文件,在IDA中打开,文件拖入之后,会有一些提示选项,先默认选择yes、ok,一开始也看不懂~ 整体的界面显示如下,下面自上向下逐个介绍 界面 最上边是一些常规的菜单栏和工具栏 下边这个长长的有
7.IDA-创建结构体
hgy413的专栏
12-26 1万+
结构体的一个显著特点在于,结构体中的数据字段是通过名称访问,而不是像数组那样通过索引访问。不好的是,字段名称被编译器转换成了数字偏移量。结果,在反汇编代码清单中,访问结构体字段的方式看起来与使用常量索引访问数组元素的方式极其相似。 注意的是,结构体中有个内存对齐规则,所以不要认为编译器会利用所需的最小空间来分配结构体。默认情况下,编译器会设法将结构体字段与内存地址对齐,以最有效地读取和写入这些字
IDA逆向代码 --- 结构体分析与建立
生命不息 折腾不止
10-11 1956
结构体的创建首先要确定结构体的大小,主要是通过数据的使用来确定结构体的大小; IDA结构体成员一般出现在:类初始化的地方(XX.dll); 根据成员的多少,我们创建结构体的大小,注意虚表vt占4个字节;一般有三个地方有助于我们创建结构体:初始化函数成员列表、memcpy函数的使用、memset函数的使用、数据库字段; 在memcpy的参数中的size,结构体大小起码为size; 在...
IDA结构体操作
weixin_45799954的博客
03-19 3543
IDA结构体操作1.自定义ida结构体2.批量导入.h文件建立结构体 1.自定义ida结构体 1.打开view -> open subviews -> Structures - 2.定义结构体 Ins/Del : create/delete structure D/A/* : create structure member (data/ascii/array) N : rename structure or structure member U : delet
使用IDA 分析高级数据结构
eqera的专栏
11-29 2万+
使用 IDA 反汇编时,一些数据和操作数的处理方式可能并不准确。IDA 允许我们手动去修 改这些数据的类型和定义,我们甚至可以使用类似高级语言的数据结构。 一个C 语言程序 为了介绍IDA 的数据分析处理功能,我们先看一个C 语言编写的使用特殊数据类型和结构 的小程序: #include #include // our structures // ==============
IDA PRO 逆向工程要点
haithink的专栏
07-10 2255
1 IDA pro 进行动态分析的流程。 尤其是 启动阶段下断点的方法。 之前网上搜过,但是没记录下来? 1 E:\javaDev\android-sdk\platform-tools&gt;adb push android_server /data/local/tmp/ 2 E:\javaDev\android-sdk\platform-tools&gt;adb shell 3 获...
IDA Pro使用(静态分析+动态调试)
GJQI12的专栏
11-22 5567
IDA Pro使用(静态分析+动态调试) 1.静态分析 IDA FLIRT Signature Database —— 用于识别静态编译的可执行文件中的库函数 IDA signsrch —— 寻找二进制文件所使用的加密、压缩算法 IDA scope —— 自动识别windows函数和压缩、加密算法 Ponce —— 污点分析和符号化执行工具 snowman de
IDA基本使用
z786849296的博客
05-04 2万+
1.可以被IDA解析的文件包括.exe、.so、.o等格式。 ——打开方式:1.选择文件(代码如下),点ok。 (十进制转二进制,八进制代码) `#include&amp;amp;amp;lt;stdio.h&amp;amp;amp;gt; #include&amp;amp;amp;lt;math.h&amp;amp;amp;gt; int main() {int a,b,n; while(scanf(&amp;amp;quot;%d&amp;a
利用IDA-Pro进行软件逆向分析的中间语言转换方法
"基于IDA-Pro的软件逆向分析方法,主要探讨如何利用IDA-Pro工具进行二进制程序的逆向工程,包括反汇编、汇编文法识别、转换规则制定以及中间语言优化,旨在提高软件分析和调试的效率。" 在软件开发和安全研究领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值