Linux样本——IDA调试分析ELF文件

最新推荐文章于 2025-06-27 14:30:19 发布
最新推荐文章于 2025-06-27 14:30:19 发布
阅读量3.3k 收藏 6
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 逆向学习、病毒分析之路 文章标签: Linux样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/userpass_word/article/details/89510164

主要是自己遇到了一个Linux样本,记录下从不熟悉到熟悉的过程,也可以帮助更多在逆向分析这条路上的人。

Linux平台调试工具

1、动静分析结合的跨平台工具-IDA

2、无图形界面的调试神器-GDB

3、Linux平台开源调试工具-radare2

使用IDA远程调试

1、Linux系统配置调试ELF文件环境,使用file命令查看elf文件类型,得知文件运行平台是32位

2、拷贝IDA远程调试服务文件linux_serverLinux 平台

           1)一定要拷贝

最低0.47元/天 解锁文章

200万优质内容无限畅学
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1831
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
UPX源码分析——加壳篇
wodafa的博客
02-23 7035
本文属于i春秋原创文章现金奖励计划,未经许可严禁转载。 0x00 前言 UPX作为一个跨平台的著名开源压缩壳,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱壳都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,
Malware-Sample-Sources:恶意软件样本来源
05-23
恶意软件样本源-恶意软件样本库的集合 这是一个旨在使恶意软件分析人员更容易找到病毒样本进行分析,研究,逆向工程或审查的项目。 恶意软件很难发现,更不用说对所有可能的地方都有深刻的了解。这是一个活跃的存储库,我们尝试在其中记录尽可能多的资源,以使您的工作更轻松。 在处理这些文件时,请务必格外小心,因为众所周知,这些文件是由其原始作者故意设计和开发的。 我们坚信透明性,并帮助好人拥有正确的访问权限和工具,他们可以将这些恶意文件撕裂。 我们欢迎所有要求和贡献! 请记住,这些都是实时存在的危险恶意软件! 除非您完全确定自己在做什么,否则请勿运行它们! 它们仅用于教育目的。 !!! 我们强烈建议您在原始的沙盒环境或无法访问Internet的专用虚拟机中查看这些文件。 如果您不小心,将会感染危险的恶意软件以感染自己或他人!!! 无需注册 以下存储库是最容易上手的,因为它们不需要注册或特殊访问。
ida pro分析elf文件(linux程序)
qq_42896627的博客
08-18 1365
IDA Free: https://hex-rays.com/ida-free/#download 客户反馈的日志,可以看到FROM tbl_ud_pe_eventreport_network_sum limit 0 offset 1188 part F436B5F1BCEA75FB204A64C83EF4C90D7执行语句报错了。 [1597725][2021-08-18][12:03:35][T1096963840][HQueryDB.cpp ][0303][I]query_acuta_
在 Windows 下使用 IDA 远程动态调试 Linux 应用
最新发布
weixin_40255400的博客
06-27 311
经常用IDA来窥视一些应用的实现逻辑,多数都是 Windows 下的应用,常用 Windows 版IDA,动态调试 Windows 应用非常方便 ,最近想分析一下 Xilinx 工具 Petalinux CLI 的内部实现逻辑,分析过程中也免不了要动态调试,本篇文章就简单总结一下调试过程。配置后以后,选择菜单 Debugger -> Start process,或者工具栏上的绿色三角启动调试。启动调试过程就是这么简单,具体如何动态分析程序的运行逻辑,就不赘述了,有兴趣的朋友后台留言我们一起交流。
IDA动态调试ELF文件
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-14 5926
IDA动态调试ELF文件,使用linux_server远程连接到linux调试的方法步骤
ELF文件格式在IDA中解析
Denny_Chen_的博客
10-08 4941
一.ELF文件IDA中展现形式 ELF文件本身是一个二进制文件,对应IDA中 HEX VIEW 界面中内容,但用户关注更多的内容可能是 IDA VIEW。IDA VIEW中是对 HEX VIEW 界面中内容从头到尾的解析,并且内容一一对应(HEX VIEW内容偏移和IDA VIEW的左侧地址对应,不管鼠标在IDA VIEW还是HEX VIEW的哪个位置停留,点击进另一个界面时,地址或偏移都是对应的)。不管二进制文件有多大,解析的汇编内容都只是在IDA VIEW,只是文件很大时,解析会比较慢。 如果二进制内
ida调试linux程序,[原创]IDA动态调试ELF
weixin_39758956的博客
05-01 536
0x00:环境待调试ELF文件IDA 7.0主机:Windows虚拟机:Linux达成效果:在Window上利用IDA远程动态调试linux里的ELF文件0x01:Unbuntu里运行IDA的服务器组件IDA附带以下组件:linux_server:在Linux计算机上执行的、用于调试32位Linux应用程序的服务器组件。linux_server64:在64位Linux计算机上执行的、用于调试64位...
Linux - IDA
ymf604的专栏
01-27 590
2. 最底层的slot中是一个指针数组。而ida_bitmap数据结构的空间大于指针。故在当前已分配的ID相对与当前slot的索引值较小时候不分配ida_bitmap,而直接用指针代表。由上描述内容可知,IDA场景为了更高效,是用bit来代表每一位的,想对与IDR存储的指针,这样的话一个位置可以存储更多的值。ID的查找使用了Xarray的xas_find_marked工具函数,可以参考。在某些场景下需要将一个数字分配出去,这就是IDA
动态调试 ida linux,IDA动态调试-ELF
weixin_36260323的博客
05-13 1208
使用IDAELF文件进行简单的动态调试。程序流程将文件下载到本地之后使用编辑器打开,可以看到是一个ELF文件。放在Linux下运行,可知道是一个”打怪”的一个小程序:需要通过打怪提高战斗力,最后杀死巨龙。根据信息可得知需要Combat超过一定数值才行,思路大概可分为以下几种:正常运行,慢慢升级,直至通关;静态修改ELF文件中的特定值,如coins、Combat等;动态调试,将逻辑判断nop掉。这...
buuctf reverse2
12-27
- **GDB**适用于Linux环境下的ELF格式文件,支持脚本化操作以及插件扩展,适合复杂逻辑的逆向工程。 - **OllyDbg**则更擅长于Windows平台上的PE文件分析,图形界面友好,便于初学者上手。 #### 使用静态分析辅助...
IDA for linux v6.4.tar.xz
07-19
IDA for linux v6.4辛苦找到的,现在分享给大家,现在大部分不完整,这个完整的,还有win系统7.0版本的,需要的私信我!
IDA 动态调试 ELF 文件
ayang1986的专栏
05-22 1131
IDA 远程调试配置 Windows 下的 IDAIDA 的安装目录/dbgsrc/找到 linux_server 和 linux_serverx64 拷贝到 linux 虚拟机中 在 linux 中运行 linux_server 并在 linux 中运行要调试的 demo Debugger -- Attach -- Remote Linux debbuger Linux 下的 IDA ...
Linux中安装IDA
y0un9er
07-21 5850
Linux中安装IDA,并利用shell脚本配置命令行启动
ida动态调试elf(无坑详细)
热门推荐
abc_670的博客
04-24 1万+
虽然linux下有gdb,radare2等神器,但有时候难免有用到ida动态调试linux文件的时候,这次自己按照网上教程来但是踩了无数坑,所以打算自己写一篇教程1.把ida中dbgsrv目录下的linux_server或者linux_serverx64放到linux中(根据自己要调试的程序选择哪个版本的)2.chmod a+x linux_serverx64改变属性,然后运行 linux_se...
利用IDA调试ELF程序
Assassin
02-16 2210
碰到一个ELF的问题,死活弄不明白想调试一下,但是查了一下要是非要调试要用GDB这样的没命令行工具,简直就是要人命啊,所以还是算了把,看了看有利用IDA远程调试程序的方法,感觉还不错,IDA确实还是有很多独到的地方哟。 简单记录一下怎么弄安装调试服务端程序在IDA的安装目录/dbgsrv/找到linux_server或linux_serverx64这两个文件,具体选择哪个文件需要视待分析ELF
Ida动态调试elf可执行文件
qq_40910788的博客
04-18 341
先将ida的传递给手机(位数根据目标脚本来,32位就用32位,64位就用64位)这个server在ida安装目录的dbgsrv中根据自己的情况选择后面调试目录放在/data/local/tmp中,其他路径也可以,无要求然后,直接给777权限巡行,控制台会出现端口,说明没啥问题了然后电脑上,将可执行文件直接拖动到ida pro里(注意位数)选择调试->选择调试或者直接按f9,然后选择远程安卓调试如图如果提示其他点击确认即可然后这一步很关键然后确认,等待加载完成,就进入了调试
ida在kali-linux虚拟机上进行远程调试(提供可能的解决无法连接的思路)内含本机与linux虚拟机无法互相ping通的解决方法(见标题四.(七))
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
04-23 3598
本篇记录本蒟蒻逆向博主在ida进行远程调试踩的坑,一是方便自己以后不再踩,二则便于后人少走弯路本篇的学习目的是要,因为大多数人想必和博主一样只有windows一个主系统,这种情况下逆向分析过程中如果遇到elf文件,且必须通过动态调试才能解决(或者说借助动调可以大大降低逆向难度),如果不能进行linux远程调试,那将只能!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值