IDA 反编译之创建结构体分析调用的API某硬编码项

原创 已于 2022-11-25 20:53:21 修改 · 6.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#渗透测试 #IDA #逆向 #mqtt #反编译

于 2021-10-22 09:36:47 首次发布
本文详细描述了如何通过逆向工程手段,在IDAdesp中构造PahoAsynchronousMQTTCClientLibrary的MQTTAsync_connectOptionsStruct,以揭示隐藏的API参数v17的真实含义,对开发者进行深入的代码理解具有指导价值。

        在逆向分析某mqtt client软件的时候,由于调用了“Paho Asynchronous MQTT C Client Library”,为了分析获得某硬编码的API参数值,需要在IDA工具里构造struct。下面是分析的过程

1.定位到API结构体的位置

        在某次逆向分析某mqtt client软件的时候,我对此处的v17的值很感兴趣,我怀疑是某重要信息的硬编码,我想知道这串字符串到底是用做什么的?

 

        全局搜索v17出现的地方,第一个搜到的是它的定义。

        由于结构体地址空间是连续的,我们是可以轻易大胆猜测v16-v22几个命名很可能是结构体的相邻项。

        v16很显然是第一个结构体第一个地址,搜索v16出现的地方,试图推测它的结构体名字

    &nb

最低0.47元/天 解锁文章
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
IDA从入门到理解
yang7950000的博客
05-12 2844
IDA从入门到理解 IDA对于各位师傅应该无需简介了,如果写的不对的地方,还望师傅们多多包涵。 讲解的时候会涉及到笔者在学习和使用时候的理解。 启动界面介绍: NEW:打开IDA同时弹出对话框选择要打开的文件 Go:单独打开ida,打开界面将文件拖入 Previous,或者下面的列表:快速打开之前的的文件 这里选择Go键,打开以后 把我们要分析的文件拖到ida即可 这里按我们的默认选点击OK即可。 选择中可能需要理解的为: 1.Manual Load:基地址重定向,并且可以显示PE头部信息, 2.
7.IDA-创建结构体
hgy413的专栏
12-26 1万+
结构体的一个显著特点在于,结构体中的数据字段是通过名称访问,而不是像数组那样通过索引访问。不好的是,字段名称被编译器转换成了数字偏移量。结果,在汇编代码清单中,访问结构体字段的方式看起来与使用常量索引访问数组元素的方式极其相似。 注意的是,结构体中有个内存对齐规则,所以不要认为编译器会利用所需的最小空间来分配结构体。默认情况下,编译器会设法将结构体字段与内存地址对齐,以最有效地读取和写入这些字
IDA屏蔽登录弹窗分析过程
一十一的博客
05-25 1055
打开IDA 从桌面打开IDA 选择文件(我一般选择Go比较多,因为拖拽的方式太方便了) 搜索弹窗的字符串 打开字符串窗口 快捷键是 Shift+F12 设置字符串的类型 按截图上的设置即可,否则不显示中文。 (注意的是:不是所有的字符串都能搜索,遇到字符串加密或者非硬编码字符串就无法搜索到) 搜索字符串 输入 过期 第一个就是,双击进入 显示中文字符串 双击后是乱码,因为没有设置字符串编码 设置字符串编码 打开菜单 Options - String Literals… 快捷键是 Alt+A .
Linux内核ida数据结构使用
最新发布
qq_18380287的博客
10-18 197
Linux 内核中的ida(ID 分配器)是用于高效分配和释放唯一非负整数 ID 的轻量级工具,适用于只需 ID 标识而无需关联对象的场景。
世界顶级的交互式汇编工具——ida的使用详解
热门推荐
m0_57485346的博客
11-03 2万+
世界顶级的交互式汇编工具——ida的使用详解
IDA创建结构体方法
qq_33163046的博客
04-20 1万+
1. ida是最好用的逆向分析工具 2.问题 如果你在使用IDA分析时遇到大量的结构体指针偏移形式的变量,肯定想根据自己的分析重命名结构体。 3.定义结构体 这是需要先找到结构体初始化的地方 这里记录了每一的偏移量,记录了结构体总大小Ox110uLL。 我们要根据这个结构体初始化函数来定义该结构体IDA中打开Structures,快捷键是shifr+ F9 ,然后按insert键,进行插入。 在ends 后按d键,添加相应的成员,然后选中成员名,按N进行修改,选中类型,
IDA结构体操作
weixin_45799954的博客
03-19 4021
IDA结构体操作1.自定义ida结构体2.批量导入.h文件建立结构体 1.自定义ida结构体 1.打开view -> open subviews -> Structures - 2.定义结构体 Ins/Del : create/delete structure D/A/* : create structure member (data/ascii/array) N : rename structure or structure member U : delet
Shopee算法分析 - x-sap-ri
Qiled的博客
12-15 3696
shopee的环境补起来相对容易, 唯一的难点在于 “异常的处理”, 当然, 这只是对于我来说的难点. 对于各位大佬来说, 这种应该是信手拈来的东西.接下来, 继续复现如画大佬的算法分析文章.
idapython7.5创建结构体方法
如鹿渴慕泉水的专栏
06-15 420
idapython7.5创建结构体方法
IDA-逆向分析-工具教程-IDA简介-汇编工具-功能窗口
插件开发
10-23 2万+
介绍了IDA汇编原理分为,线性扫描汇编和递归下降汇编。比较了两者的优点和缺点。线性扫描汇编算法采用一种非常简单的方法来确定需要汇编的指令的位置:一条指令结束、另一条指令开始的地方。因此,确定起始位置最为困难。常用的解决办法是,假设程序中标注为代码(通常由程序文件的头部指定)的节所包含的全部是机器语言指令。汇编从一个代码段的第一个字节开始,以线性模式扫描整个代码段,逐条汇编每条指令,直到完成整个代码段。线性扫描算法的主要优点,在于它能够完全覆盖程序的所有代码段。
转:IDA自定义结构体快捷键操作方法
zhangmiaoping23的专栏
03-21 3543
简单记录下,有时在分析漏洞时,以特定结构体去解析数据,更便于准确定位漏洞成因,尤其是文件格式的漏洞。   1、Shift + F1:打开本地类型; 2、insert:插入自定义的结构体; 3、Shift + F9:打开结构体; 4、Insert:添加上面创建结构体; 5、选取相应数据,Alt + Q 将其上面的结构体进行解析 注:ALT+Q 只能识别到结构体窗口(shif
64位下暴力搜索硬编码
qq_41490873的博客
01-30 345
ULONG64 g_kernelModuleBase=0; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName;
使用IDA 分析高级数据结构
eqera的专栏
11-29 2万+
使用 IDA 汇编时,一些数据和操作数的处理方式可能并不准确。IDA 允许我们手动去修 改这些数据的类型和定义,我们甚至可以使用类似高级语言的数据结构。 一个C 语言程序 为了介绍IDA 的数据分析处理功能,我们先看一个C 语言编写的使用特殊数据类型和结构 的小程序: #include #include // our structures // ==============
IDA脚本系列_NO.001-历遍一个函数及其子函数,查找是否调用过一个API函数或函数
donglxd的博客
10-23 936
比如,我在调试一个QT5的程序时,遇到了这样一种情况,软件使用时,明显感到点击一个按钮时,会有一个10s的延时,如果我们想修改这个延时时长,我们势必要找到延时函数的地址。具体来说,假定我们通过字符串定位到了某个主函数,但是这个主函数极其复杂,我们单单使用上面的"List Cross References From"功能,我们根本很难定位到延时函数,因为引用实在太多了,一个个人工查找太麻烦,而且你也不知道主函数中到底时哪层子函数调用了延时函数api,这时,我想到了自己编一个python版的ida脚本。
IDA 结构体操作的一些理解
沐一 · 林 的博客
05-20 734
IDA 结构体操作的一些理解 前言: 刚学逆向时把 IDA pro 权威指南过了一遍,但读得并不是很细,满足日常使用还是没问题的,但是对于一些细节的操作或提高效率的方法倒是没能掌握。 比如 IDA结构体和数组的操作,看过,但是不记得了,就算记得也不会用,或者根本不知道什么时候用,在哪用。 虽然凭借着最基本的操作依旧能分析得出来,但是效率却大打折扣。 有一天从 水番正文 的视频中得到启发,发现应用 IDA 结构体后能使代码可读性大大提高,便回去精读了 数据类型和数据结构 这一章,并整理出自己的 IDA
c#结构
记录点滴
09-23 571
结构可以帮助我们一次性声明多个不同类型的变量 语法: [ public ] struct 结构名 { _成员; // 通常称为字段 ··· ··· } 定义的位置: 与枚举类型enum一样,通常定义在命名空间下方,类的上方: 如: 下边小练习中,把结构与枚举相结合,在结构中,通过枚举来定义性别: namespace day_1 { //定义枚举 public enum Sex { fameil, meil } //.
结构体汇编解析
weixin_45131087的博客
04-30 264
原因:只有在定义这个结构体变量时候,编译器就去看这个结构体的定义,然后结构体都是基础数据类型组成的,占用内存的大小都是确定的,所以可以通过偏移来访问结构体的成员。如果是地址就是采用箭头,箭头是偏移的意思,就像x86内核要取出寄存器的信息,定义一个结构体,然后用偏移来访问各个寄存器的值。可能是现在vscode编辑器的优化,把一些压栈的操作给忽略了,所以更加直白一些。,这是将在堆中创建了两个int变量,然后puser指向第一个int变量。发现在定义结构体的部分是没有汇编代码的。实体取出值就是按点(.)来访问。
experiment : add struct define on IDA6.1
谢绝(无视)留言与私信
07-11 2052
今天和某人讨论一段程序, 里面涉及了浮点数组的操作.  开始讨论这个带偏移的浮点数组操作是不是浮点数组, 他研究的深入, 猜测是结构中的浮点数组. 原始PE经过IDA F5如下: double __cdecl sub_470A24(int a1) { double v1; // st6@1 signed int v2; // eax@1 double v3;
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晓翔仔

星光很亮,我们永远胸怀梦想

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值