arm ida 伪代码 安卓 符号表_IDA 制作 sig文件 && gdb 导入符号表

最新推荐文章于 2025-04-20 04:01:55 发布
最新推荐文章于 2025-04-20 04:01:55 发布
阅读量872 收藏
点赞数
文章标签: arm ida 伪代码 安卓 符号表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42193786/article/details/112932884
版权
本文介绍了如何在IDA中制作SIG文件来识别静态链接的库函数,如read、write等,并详细说明了如何在GDB中导入符号表以方便动态调试,特别是针对静态链接的程序,通过具体步骤和示例进行了解析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

最近比赛遇到了一个题目, 32位静态链接去符号了. 所以用IDA分析的时候很多libc的库函数都无法识别, 就需要在 IDA 中引入 sig 文件. 从而可以识别诸如 read, write, malloc, free 这些库函数. 虽然网上已经有很多制作好的sig文件, 但是还是应该学会自己制作sig文件以备不时之需.

有了 sig 文件后静态分析是没问题了, 但是动态调试的时候因为没有符号还是很麻烦, 比如这题我就需要查看 _IO_FILE_plus 这个结构体的内容就会很麻烦

pwndbg> p *(struct _IO_FILE_plus *) 0xf7ffdbe9

No struct type named _IO_FILE_plus.

所以我们还需要在gdb中导入libc中的符号表.

下面就是具体解决方案

一. 制作 sig 文件

需要使用 idasdk, 下载链接在本文底部.

我是在windows下制作的, 建议下载解压后添加到系统路径中:idasdk70\flair70\bin\win

1.获取libc.a

我的系统是 ubuntu 16.04 server. 这个系统上 32位 libc.a 的位置是 /usr/libx32/libc.a, 64位的我没找到

制作pat文件

需要用到上面找到的libc.a 以及 idasdk70\flair70\bin\win\ 下的 pelf.exe:

pelf.exe .\libc.a .\libc.pat

根生成 sig文件

需要用到上一步生成的 pat文件以及 idasdk70\flair70\bin\win\下的 sigmake.exe

sigmake.exe .\libc.pat .\libc.sig

这一步可能会报错

.\libc.sig: modules/leaves: 1306/1575, COLLISIONS: 14

See the documentation to learn how to resolve collisions.

猜测是因为有些函数会对应好几个符号, 为了保证函数和符号一一对应, 就需要人为干预一下.

解决方法就是修改当前目录下的 libc.exec 文件, 具体操作文件里有提示.

修改之后再执行一遍

sigmake.exe .\libc.pat .\libc.sig

即可得到 libc.sig 文件.

导入IDA

首先将上一步得到的 sig 文件复制到 IDA安装目录的sig/pc下.

然后打开IDA , shift+F5,右键添加新的签名文件, 选择 libc.sig即可

二. gdb 导入符号表

方法很简单

gdb -e ./pwn -s ./libc.so

pwn 是去符号静态链接的文件.

libc.so 是本地带符号的动态链接库.

libc.so和pwn所使用的libc的架构得一致.

如果想在pwntools里面使用的话可以这样

io = process("./pwn")

gdb.attach(io, "add-symbol-file ./libc.so 0")

实例(凑字数):

➜ test gcc ./test.c -s --static -o pwn

➜ test gdb ./pwn

pwndbg> r

Starting program: /mnt/hgfs/ctf/ctf_games/test/pwn

^C

Program received signal SIGINT, Interrupt.

pwndbg> p *(struct _IO_FILE_plus *) $rsp

No struct type named _IO_FILE_plus.

pwndbg> add-symbol-file ./libc_2.23.so 0

Reading symbols from ./libc_2.23.so...done.

pwndbg> p *(struct _IO_FILE_plus *) $rsp

$1 = {

file = {

_flags = 4196856,

_IO_read_ptr = 0x10e1000004d2 ,

_IO_read_end = 0x524c03e851558b00 ,

_IO_read_base = 0x6ca018 "ЮC",

_IO_write_base = 0x400c66 "\211\307\350", ,

_IO_write_ptr = 0x0,

_IO_write_end = 0x100000000 ,

_IO_buf_base = 0x7fffffffe3a8 "#\346\377\377\377\177",

_IO_buf_end = 0x4009ae "UH\211\345H\203\354\020dH\213\004%(",

_IO_save_base = 0x4002c8 "H\203\354\bH\213\005\035\235,",

_IO_backup_base = 0xba1f4e1aa56a16b1 ,

_IO_save_end = 0x4016d0 "AVA\276؞l",

_markers = 0x401760,

_chain = 0x0,

_fileno = 0,

_flags2 = 0,

_old_offset = 5035219255199143601,

_cur_column = 5809,

_vtable_offset = 24 '\030',

_shortbuf = ,

_lock = 0x0,

_offset = 0,

_codecvt = 0x0,

_wide_data = 0x0,

_freeres_list = 0x0,

_freeres_buf = 0x0,

__pad5 = 4196782,

_mode = 1,

_unused2 = "\000\000\000\000\250\343\377\377\377\177\000\000\320\026@\000\000\000\000"

},

vtable = 0x0

}

pwndbg>

注意:

需要使用带符号的libc, 然而ubuntu自带libc.so的是去符号的. 需要自行下载带符号libc或者自己编译, 编译方式可以参考我之前一篇博客

Appendix

下载idasdk:

GDB:加载符号表
风静如云的博客
09-06 1140
如:strip --strip-debug --strip-unneeded c。介绍了调试coredump时需要通过-g编译程序,从而产生调试程序所需要的信息。如:objcopy --only-keep-debug c c_symbol。通过这种方式可以将符号表文件c_symbol 加回到可执行文件c。c_symbol: 文件格式 elf64-x86-64。c: 文件格式 elf64-x86-64。如:objcopy --strip-all c。可以看到又可以看到有意义的符号信息了。
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 9510
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
GDB调试release程序
xabc3000的专栏
08-13 7059
如果现在有同一个工程构建出的Debug版和Release版可执行文件projectD和projectR,如下的命令可以帮助你把Debug版中的符号表加到Release版中,实现对Release版的调试。   1、objcopy --only-keep-debug projectD projectsymbol.dbg #生成符号表;   2、gdb -q --symbol=projectsymb
GDBgdb的原理和使用
最新发布
张壮壮的博客
04-20 1423
coredump,核心转储文件,程序运行过程中发生异常退出时,操作系统把程序当前的内存状态存储在core文件中,称为coredump。gdb符号表gdb在调试过程中使用的一种数据结构,包含了程序中函数、变量等信息,用于在gdb调试过程中进行符号解析和地址定位。函数符号表:包含程序中定义的函数名称、参数、返回值等信息;变量符号表:包含程序中定义的变量名称、类型、作用域等信息;类型符号表:包含程序中定义的数据类型,例如结构体、枚举、类型别名等;地址映射表:将程序中的虚拟地址映射到物理地址。
IDA 与VC 加载符号表
weixin_30725467的博客
05-19 491
将Windbg路径下的symsrv.yes 拷贝到ida 的安装目录,重新分析ntoskrnl.exe, 加载本地的符号表 添加环境变量 变量名:_NT_SYMBOL_PATH变量值:SRV*{$Path}*http://msdl.microsoft.com/download/symbols/将“{$Path}”替换为要存储pdb符号表文件的路径,比如:C:\PDB,在线的符号下载。 于是用...
gdb调试没有符号表被读取_GDB如何调试没有符号表(未加-g选项的编译)的程序
weixin_39765290的博客
02-01 559
/********************************************************************** Author : Samson* Date : 01/30/2015* Test platform:* 3.13.0-24-generic* GNU bash, 4.3.11(1)-release...
gdb与symbol符号表文件的调试
tianyexing2008的博客
05-12 6105
今天在调试程序的时候发现,在测试部测试的程序都是剥离了符号表的,导致用gdb无法调试,只有找到符号表文件才能继续gdb调试,好在符号表文件是和程序一起发布的。之前一直没有用符号表文件进行调试过,今天记录一下。
ANDROID调试检测技术汇编
抚琴
02-06 1382
ANDROID调试检测技术汇编 1 调试器调试端口 2 调试器进程名 3 父进程名检测 4 自身进程名检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 14 利用IDA解析缺陷反调试 15 五种代码执行时间检测 16 三种种进程信息结构检测 17 Inotify事件监控dump 1. IDA调试端口检测 原理: 调试器远程调试时
安卓逆向)技巧思路分享
contrary_的博客
06-07 915
需要逆向工具资料+v:13140310004 一、首先刚开始学逆向的话 java基础+Android开发: 到什么程度证明我们的Java基础打牢? 1.首先我们需要看懂反编译的Java代码 2.最好能动手写一个apk (不需要太注重布局文件,侧重点在于代码) 二、Java逆向分析 1.当我们需要修改一个apk的dex文件(Java代码) 不能够直接修改Java代码 只能修改smali代码 需要掌握 smali代码 Android studio动态调试(调试是基于我们导入的smali文件) JEB动态调试 d
ISCC2017部分题目wp
qq_43679903的博客
11-13 792
ISCC2017部分题目wp
gdb加载符号表
hhhlizhao的博客
02-05 2741
(1) info sharedlibrary --查询符号表地址。加载的地址为第一个命令查到的地址。
手机测试用的手机签名文件。.sig文件的下载和使用方法。
11-24
手机测试用的手机签名文件。.sig文件的下载和使用方法.
18.IDA-创建自己的sig
hgy413的专栏
01-30 6151
工具flirt68.zip pcf.exe/pcf: 生成一个模式文件.pat sigmake.exe: 生成一个签名文件.sig 流程创建PAT生成pat文件,pat.txt文件说明各个模式的格式。第一部分列举了它所代表的函数的初始字节序列,最长为32个字节。一些字节因为重定位的入口而有所不同,这些字节将得到“补偿”,每个字节以两点显示。。如果一个函数短于32个字节(例如前面代码中的_
gdb 挂载动态链接库符号表
a930716的专栏
07-29 2184
gdb 挂载动态链接库符号表
利用IDA学习将ARM汇编翻译成伪代码
AndroidDeveloper的专栏
05-13 3896
首先要熟悉ARM汇编指令,这是基础条件。其次是F5可以看伪代码。这个时候在伪代码处,右键copy to assemble就会出现伪代码和汇编的对照表。
GDB手动加载符号表文件调试
ssyu
01-24 2687
GDB手动加载符号表文件调试
IDA sig文件的生成与使用
生命不息 折腾不止
08-05 2911
问题引入:Sig文件能使得IDA识别更多的符号,便于分析; 前面在《IDA 逆向技巧》中有提到sig文件制作,自己写一个demo编译成为lib,再生成sig文件,具体步骤如下; 1、使用IDA打开lib,可以看出lib里面有多少个obj文件; 2、使用link.exe 将lib中的obj文件导出来(这个link.exe 来自于哪里?) 命令:link -lib /extract:test...
ida pro伪c语言代码优化,ida pro so文件f5后伪c后的 jni函数优化
weixin_42502537的博客
05-23 952
ida pro so文件f5后伪c后的 jni函数优化自己写的原创工具生成的伪c代码进行处理以下是部分结果的例子int __fastcall Java_com_esun_util_libc_JNINativeInterface_getRewardOptimizeResult(int a1, int a2, int a3, int a4, int a5, int a6){int v6; // r4@...
arm ida 伪代码 安卓 符号表_一款木马释放器的简单分析及IDA的骚操作
weixin_42697475的博客
01-06 1032
本文为看雪论精华文章看雪论坛作者ID:SSH山水画前言这是一款比较简单的木马,通过分析此样本可以训练分析思路、分析逻辑,并且加强IDA的使用。如有不对的地方,欢迎指出,择优吸收。样本信息File: virus.exeSHA1: 71b7322291b5a89d227b5cfe82106fce51036da2SHA256:b48ebc54b9717bbe3a9de3fd5744c8ad1f...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值