【Android安全】IDA 处理伪代码JUMPOUT指令(Undefine + Create Function)

已于 2022-04-30 04:33:14 修改
阅读量1w 收藏 14
点赞数 1
分类专栏: 安卓安全 IDA 文章标签: 安全 android 经验分享
于 2022-04-15 18:37:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39441603/article/details/124199542
版权
本文介绍了如何处理IDA在分析SO文件时出现的反编译错误,特别是JUMPOUT指令导致的函数合并问题。通过在IDA中取消定义错误的函数,然后为独立代码段创建新函数,并刷新伪代码,可以修复分析结果,确保每个函数的正确识别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IDA 处理伪代码JUMPOUT指令

函数被IDA错误合并

IDA分析so时,可能会遇到反编译结果不准确的情况,如下:
在这里插入图片描述
这里的两个JUMPOUT其实解析有问题,如下:
在这里插入图片描述
例如loc_18B27B0被解析成了HEN_WriteBlock函数的一个分支中的代码:
在这里插入图片描述
Tab查看结果如下:
在这里插入图片描述在这里插入图片描述
但是其实loc_18B27B0处是一个独立的函数。

函数重新识别

Undefine HEN_WriteBlock函数(找到HEN_WriteBlock函数的函数名,按U)
在这里插入图片描述
然后再回到HEN_ReadBlock函数,进而找到loc_18B27B0:
在这里插入图片描述
在loc_18B27B0处create function(右键→Create Function,或者按p):
在这里插入图片描述
回到HEN_ReadBlock
在这里插入图片描述
按F5,发现loc_18B27B0处的函数已经被识别出来了:
在这里插入图片描述
同法处理另一个函数loc_18B2868后:
在这里插入图片描述
(如果伪代码更新不过来,就先进入sub_18B2868的伪代码,然后再重新进入HEN_ReadBlock的伪代码,再按F5)

(如果更上层的函数的伪代码更新不过来,也是同法,先进入下层函数伪代码,再回到上层函数伪代码并按F5)

IDA系列--高级技巧--JUMPOUT处理
Tasfa的博客
05-23 3416
当使用IDA逆向分析时,会遇到各种各样的无法F5反汇编的情况,例如JUMPOUT情况,本文通过各种例子讲解如何处理这种情况。
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享
热门推荐
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
IDA 函数出现翻出来漏掉很多代码 或者出现jumpout处理方法之一
qq_36535153的博客
09-08 3157
如果出现有漏掉一大截代码的情况,那么我们需要查看漏掉的那部分的代码的汇编 看看跳转过去的代码是否在伪代码里面有显示 如果没有显示 且出现这种情况 end of function chunk for xxx 那么就需要手动修改 选择end of function chunk for xxx 下面的代码 按 快捷键 E 将下面的汇编 放到 上面的DataStream_Calc 函数里面去 这种情况可能会出现很多 需要不停的查找出现end of function chunk for xxx 的地方 然后
逆向工具——IDA Pro的使用,从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
03-31 4482
交互式反汇编器专业版 (Interactive Disassembler Professional),江湖人称IDA Pro。这货是个递归下降反汇编器,在逆向分析界那是响当当的存在。它能分析 x86、x64、ARM、MIPS、Java、.NET 等等各种平台的代码,简直是安全分析师的秘密武器!IDA 是 Hex-Rays 公司的王牌产品,这家公司在比利时,能写出这种神器的绝对是大佬中的大佬。左边这块就是函数窗口,所有函数都在这儿列着。拿到一个题目,一般从main函数开始,但main。
逆向基础——IDA伪代码&&ODA快捷键&&C查缺补漏
壊壊的诱惑你的博客
05-11 5221
入坑逆向已经快小半个月了,不得不说入门逆向工程真的难,总结一下小收获。 一 IDA中的伪代码 在解答reversing.kr中的easykengen的逆向时,IDA反汇编中有一段语句如下: sprintf(&v13,aS02x,&v13,*(&input + v3++) ^ *(&v6 + i)); 代码中二个点: ...
IDA反编译的几个注意和技巧
qq_36535153的博客
04-08 1万+
IDA逆向程序的经验总结关于F5汇编代码不能转成c的伪代码的几个问题总结关于一些类型转换以及指针和地址的总结最可以拿来当教训的应该是 hide cast 功能1.jmpout的问题功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必...
ida编译arm汇编出现JUMPOUT的解决方案
bncmjnmlp的博客
04-18 5482
首先可以通过在反汇编得到的的c代码里确定JUMPOUT在汇编代码的位置 之后在汇编代码中跳转到该地址,应该可以看到一个跳转指令(B,BL,BX等)。 由于IDA无法识别跳转指令的跳转地址,所以会出现JUMPOUT的情况。 想要去除JUMPOUT,就要由我们自己将这个跳转指令算出来。手动将算出来的地址写入汇编指令,代替原来的跳转地址。 修改方法:工具栏 -> Edit -> Patch Program -> Change byte... 另外,也会出现跳转指令无法计算的情况
IDA伪代码C语言复现调试(mqtt client)
qq_33163046的博客
12-10 6714
IDA伪代码分析 mqtt client在connect Broker成功后往往紧接着subscribe topics。 IDA反编译了一段mqtt client,找到subscribe部分的伪代码,力图复现代码里真实subscribe内容。 IDA 相关内容如下 粗略分析可以知道,这里要订阅 0x18(24)个topic。topic由8个“基本topic体”追加附上特定字符串构成。 从第258和...
调试实战 | 通过转储文件分析程序无响应之使用 windbg + IDA 逆向篇
12-21 1232
程序无响应,而且cpu占用率很低,可以考虑死锁的可能性。本文是在实际开发过程中遇到的一个很典型的死锁。而且排查过程很有意思,既使用了windbg的内存搜索功能,又利用了IDA强大的逆向能力,尤其是F5,太香了。
利用IDA学习将ARM汇编翻译成伪代码
AndroidDeveloper的专栏
05-13 3871
首先要熟悉ARM汇编指令,这是基础条件。其次是F5可以看伪代码。这个时候在伪代码处,右键copy to assemble就会出现伪代码和汇编的对照表。
jump out用法
weixin_30468137的博客
08-01 3321
You ready to jump out the airplane without your parachute? ---《老友记》 第一季 第一集 你准备好不用降落伞跳出飞机吗? 拓展: to jump right out of one's skin all skin and bones 今天我们 来给大家介绍两个由skin组成的习惯用语。我们要讲的第一个常用语所形容的景象可能你们永...
x86-x64汇编语言、反汇编知识和IDA
m0_61634551的博客
01-20 1929
x86寄存器:通用寄存器:EAX, EBX, ECX, EDX, ESI, EDI栈顶指针寄存器:ESP栈底指针寄存器:EBP指令计数器:EIP段寄存器:CS, DS, ES, FS, GS, SSx86-64寄存器:(把E改成R)通用寄存器:RAX, RBX, RCX, RDX, RSI, RDI,R8-R15栈顶指针寄存器:RSP栈底指针寄存器:RBP指令计数器:RIP段寄存器:CS, DS, ES, FS, GS, SS16位寄存器:(把E或R删了)
IDA Pro7使用总结
liinux-Talk is cheap,show me the code.
12-30 1093
一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c++中复杂的重载后的函数名称 PE tools: 是一组用于分析Windows系统中正在运行的进程和可执行文件的工具 string: 可以用于直接搜索出elf文件中的所有字符串 参数-a 表示搜索整个文件,参数-t 可以显示出每一个字符串的偏移,参数-e 可以用于搜索更多的字符编码的字符串,如Unicode编码 strip: 可用于
(Mac)虚拟机中的IDA逆向伪代码
Lyn_zhu的博客
11-01 1396
windows系统中IDA逆向伪代码是使用了快捷键F5,可是在mac的虚拟机里却没有用,在网上也没有找到解决办法,自己摸索了一下,浅浅记录一下~选中想要逆向编译的函数,view->Open subviews->Decompile a function。(有一个小问题,就是字太小了,眼睛都要看瞎啦,评论区有没有大神可以帮忙解决一下这个问题👀)
IDA F5还原伪代码的小问题
Sven的忘却日记
09-30 1万+
这个函数是DialogBoxParamsA函数注册的窗口回调,代码中有个红箭头标示处,EAX 的值来自GetDlgItemTextA函数获取输入框控件中用户输入字符的长度。然后cmp eax,5 判断用户输入点的字符是不是5个。 下面有个jnz条件判断,此时如果按F5,IDA只显示了左边红色框框中的代码,调用MessageBoxA。 上图中,F5后的结果,GetDlgItemTextA获取完长...
IDA 逆向代码 --- 双精度浮点型jumpout
生命不息 折腾不止
11-11 4874
场景: IDA识别出一个函数为: int __fastcall _floatsidf(int result) { if ( result ) JUMPOUT(&loc_DD7F4AA4); return result; } 分析: 调试一下,通过输入和输出发现:函数floatsidf 实际上就是将int 转换成为 double型; 浮点数,注意R0 和R1,是使用...
从java层调用native层的函数,在ida中看伪C代码更直观的方法
灯、等灯等灯...
11-10 2504
在EXPORT栏下搜索:java_xxxxxxx   双击进入此函数,按下键盘F5,得到伪C代码   前面两个参数是打包成so时自带的,从第三个参数开始才是我们要的参数 由于函数体内有太多不相关的转换函数使我们容易看花眼,这时候可以使用一个文件可以掩饰掉这些不相关的东西,步骤如下: 1.   2. 需要一个头文件,这个文件后面会给出下载地址,   3.提
IDA-F5查看伪代码报错:Decompilation failure: 40077D: cloud: no response
book_stand的博客
04-20 890
今天在进行逆向的时候发现,F5查看伪代码给我报错了,之前都没出现过这种情况。右键在记事本中编辑,找到MAX_FUNCSIZE,将64改为1024。通常IDA反编译函数时会有大小限制,超过这个大小就会反编译失败。既然是响应出问题的话,先找到IDA的安装目录,再找到里面的。保存后再重新打开IDA,问题就解决了。cfg文件夹下的hexray.cfg。翻译后是:cloud:没有响应。
ida pro 查看简易 Android .so 文件伪代码
vistaup的博客
03-12 1297
当然,这个是最简单的so的结构,稍微复杂点的可能就搜索不到JAVA,后面再来填坑。注意,这篇只是我的简单记录,要学习详细使用,请参考其他大佬的。在函数窗口按 Ctrl + F 搜索 “JAVA” ,双击结果。点击 F5 ,借助F5 插件查看伪代码。直接把需要的文件拖到 IDA 中。让我们打开神器 IDA
cursor错误Your request has been blocked as our system has detected suspicious activity from yo
03-18
### 解决 Cursor 错误请求被阻止问题 当遇到 `cursor error` 并提示由于可疑活动而导致请求被阻止的情况时,通常是因为服务器检测到异常行为并采取了安全措施。以下是可能的原因以及解决方案: #### 可能原因分析 1. **IP 地址被列入黑名单** 如果客户端的 IP 被认为存在恶意行为,则可能会触发服务器的安全机制,从而导致请求被拒绝[^1]。 2. **频繁访问或超出速率限制** 过多的 API 请求可能导致服务器将其视为潜在威胁,并暂时封锁该连接[^2]。 3. **不合法的身份验证令牌** 使用过期或者伪造的身份验证令牌也可能引发此类错误消息[^3]。 4. **浏览器插件干扰** 某些广告拦截器或其他扩展程序可能会影响正常的网络通信过程,进而造成类似的错误现象[^4]。 5. **数据库游标超时设置不当** 对于某些应用而言,“cursor”指代的是数据库查询中的游标对象;如果长时间未操作而使得会话断开,则同样会出现上述状况[^5]。 #### 针对性解决办法 - **确认当前使用的 IP 是否正常** 尝试更换不同的网络环境重新发起尝试,观察是否有改善效果。 - **调整请求频率至合理范围之内** 查阅目标服务文档了解其允许的最大 QPS (Queries Per Second),据此优化自己的调用逻辑以满足规定条件。 - **更新认证凭证** 确认所依赖的所有授权信息均处于有效期内,并按照官方指南完成必要的刷新流程。 - **禁用第三方软件影响因素** 测试期间可以考虑临时关闭那些已安装但不确定作用的附加组件来排除它们带来的副作用。 - **适当延长 cursor 的存活周期** 根据实际需求修改相关参数配置文件里的 timeout 值,给予更充裕的时间窗口处理数据读取任务。 ```javascript // 示例代码展示如何通过 MongoDB 设置更大的批处理大小和增加生存时间 const MongoClient = require('mongodb').MongoClient; let client; async function main() { const uri = 'your_connection_string'; client = new MongoClient(uri, { useNewUrlParser: true }); await client.connect(); const collection = client.db("test").collection("accounts"); let cursor = collection.find().batchSize(10).noCursorTimeout(true); } main() .then(() => console.log("Operation completed")) .catch(err => console.error(`An error occurred while running the script: ${err}`)) .finally(() => client.close()); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值