使用ida pro做反编译时,要注意类型转换

最新推荐文章于 2025-04-04 14:20:20 发布
原创 最新推荐文章于 2025-04-04 14:20:20 发布 · 647 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了使用IDAPRO进行反编译时遇到的问题,特别是关于寄存器edx的处理方式。文章详细解释了如何正确处理函数调用过程中寄存器的状态,以及如何通过设置类型信息来改进反编译结果。

使用ida pro做反编译时,要注意类型转换

反编译器常常在反编译的时候做一些假设,想调用call常常返回,内存模式是flat,函数框架被正确设置等。当这些假设是正确的,输出代码是正确的。当假设是错误的话,那么得到的代码就和真实的代码不一定一致。来看个例子,

使用反编译器得到如下伪码。

显然,变量v3(相当于edx)根本没有被初始化,为什么?

发生这样的时候,是因为被调用函数常常破坏寄存器的值。在x86约定中,只有esiediebxebp可以跨越call保存。换句话说,其他的寄存器可以通过一个函数调用改变它们的值。因此,反编译器假定函数遵守调用约定,它在函数调用前和函数调用后,把edx识别成两个变量。第一个变量被优化成a1,第二个变量v3成了未初始化的。

实际上 edx有以下三种可能。

  1. 未修改
  2. 用来返回一个值
  3. 被毁坏

通过被调用的函数,反编译器选择了第三种情况。来我们来看看如果是对的,会出现什么

正如我们看到,edx寄存器根本没有被引用。于是我们发现是第一种情况。

As we see, the edx register is not referenced at all, so we have the case #1. If the decompiler could find it out itself, without our help, our life would be much easier (maybe it will do so in the future!) Meanwhile, we have to add the required information ourselves. We do it using the Edit, Functions, Set function type command in IDA. The callee does not spoil any registers:

反编译器产生不同的伪码

因此,我们知道edx并没有通过call被修改。它不过是在调用前后建立了两个实例。

通过调用函数利用edx返回值。我们如下操作设置类型

上面表达式的意识是,函数带有一个参数,参数被调用者压栈,并把结果返回给edx

在第三种情况下,反编译器为edx建立两个不同的变量,第一个被优化掉,第二个被用来放返回值。

正如我们看到的,类型信息在反编译器中扮演了一个很重要的角色。为了得到一个正确的代码,我们要特别注意类型。

zhangzhm
关注
NX二次开发-C++使用IDA Pro反编译dll,追踪查看里面使用的UFUN API函数(三部曲1)
阿飞2018
11-19 2776
NX二次开发-C++使用IDA Pro反编译dll,追踪查看里面使用的UFUN API函数(三部曲1)
反编译系列】一、反编译 .so 文件(IDA Pro
leoatliang的博客
11-13 2万+
反编译系列】一、反编译 .so 文件(IDA Pro
一个超简单的反编译任务(IDAPro、X32dbg)
一个手掰橙的博客
12-01 7653
一个超简单的反汇编任务 所需工具 IDAPro、X32dbg、Visual C++ 6.0 实验步骤 首先,我们新建一个简单的程序并编译运行。 这里笔者建立了一个弹窗程序,运行结果如下: 进行IDA逆向分析,我们可以通过空格键来切换视图,这可以看到HelloWorld这部分的地址为00401031 在X32dbg中打开test_hello.exe后,找到目标地址 同在转储中跟随 这我们可以对“Hello,world!”进行编辑更改 接下来生成补丁文件并保存 此打开新文件soe
【教程】使用 IDA Pro + 010 Editor 反编译和修改 so 文件,让你轻松玩转逆向工程!
ALLEN'Blog
04-04 3025
当我们在逆向工作,总会遇到需要查看某个 so 文件的情况,甚至可能需要对其进行一些微小的修改。这候,我们就需要来点反编译的魔法了。不过别担心,只要你掌握了 IDA Pro 和 010 Editor 这两个工具,就能轻松愉悦地完成反编译和修改工作啦。IDA Pro 是一款由意大利公司 Hex-Rays 开发的反汇编工具,其功能十分强大。首先,它支持多种处理器架构,包括 x86、ARM、MIPS 等。其次,它可以对二进制文件进行静态分析,还可以通过调试器进行动态分析。
IDA PRO 静态反编译软件
Acunetix的博客
07-15 468
IDA Pro是目前最棒的一个静态反编译软件,是破解者不可缺少的利器!巨酷的反编译软件,破解高手们几乎都喜欢用这个软件。不会用当作经典的收藏软件也不错! IDA Pro 并不自动的解决程序中的问题,IDA Pro 会告诉您指令的可疑之处,并不去解决这些问题。您的工作是通知 IDA 怎样去IDA Pro Disassembler and Debugger是一款交互式的,可编程的,可扩展的,多处理器的,Windows或Linux平台主机分析程序。 IDA Pro被公认为最好的花钱可以买到的反汇编利器,ID.
IDA Pro反编译器的使用
小李的便利店
08-11 3470
IDA Pro反编译器的使用
反编译系列】四、反编译so文件(IDA_Pro)-附件资源
03-05
反编译系列】四、反编译so文件(IDA_Pro)-附件资源
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
本文将深入探讨反编译工具IDA Freeware 7.6的使用,以及如何对Qt5程序进行初步逆向分析和解析。 IDA Freeware是由Hex-Rays公司提供的一个强大的反编译器和动态调试器。这个免费版本虽然功能相对有限,但仍然提供了...
IDA编译STM32 Hex/Bin文件成C代码
最新发布
10-07
IDA Pro反编译步骤 详细说明了使用IDA Pro进行反编译的步骤,包括文件打开、处理器类型设置、反汇编操作等。 生成C语言代码 介绍了如何在反汇编完成后,通过IDA Pro生成类C伪代码,并查看函数间调用关系。 常见...
跟着王哥学逆向——工具篇(IDA Pro)
热门推荐
qq_52642385的博客
01-16 5万+
交互式反汇编器专业版(Interactive Disassembler Professional)常称为 IDA ProIDA 是一种递归下降反汇编器,是个逆向分析的神器之一,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,是安全分析人士不可缺少的利器!IDA是Hex-Rays公司的旗舰产品,公司位于比利,能写出这种软件的人都是超级大牛。这里以BUUCTF里面一道easyre题来展开对IDA使用说明IDA的主窗口就如下图所示。
IDA 反编译之创建结构体分析调用的API某硬编码项
qq_33163046的博客
10-22 6256
在逆向分析某mqtt client软件的候,由于调用了“Paho Asynchronous MQTT C Client Library”,为了分析获得某硬编码的API参数值,需要构造struct。下面是分析的过程
利用IDA Pro反汇编程序
weixin_30667301的博客
02-09 1377
IDA Pro是一款强大的反汇编软件,特有的IDA视图和交叉引用,可以方便理解程序逻辑和快速定位代码片断,以方便修改。 IDA视图 示例程序 下面会通过修改示例程序的输出字符串,来讲解如何使用IDA Pro。 #include main() { int n; scanf ("%d",&n); if (n > 0) ...
【转载】反编译IDA_Pro
分享技术与经验的博客
11-22 5459
安卓应用程序的开发语言是java,但是由于java层的代码很容易被反编译,而反编译c/c++程序的难度比较大,所以现在很多安卓应用程序的核心部分都使用NDK进行开发。使用NDK开发能够编译c/c++程序,最终生成so文件。而so文件是一个二进制文件,我们是无法直接分析so文件的,所以这里需要用到一个反编译工具IDA ProIDA Pro能够对so文件进行反汇编,从而将二进制代码转化为汇编语言,利用IDA Pro神奇的F5功能还能将汇编语言反编译成c/c++程序。--摘自《
IDA Pro 反汇编器使用详解,适合逆向新人和老人的权威指南(一)
Sciurdae的博客
10-08 2万+
IDA Pro 反汇编器使用详解,适合逆向新人和老人的权威指南(一)
[C++] 反编译
weixin_30790841的博客
03-21 1095
各种开源的decompiler都不太好用,眼下最好的反编译器是IDA pro。尽管是收费的,只是破解版非常好找。我试过5.5版本号的,还不错。我把windows notepad进行了反编译,多少算有点可读性:/* This file has been generated by the Hex-Rays decompiler. Copyright (c) 2009 Hex-Rays &lt...
使用IDA Pro逆向C++程序
weixin_30924087的博客
05-10 5311
使用IDA Pro逆向C++程序 附:中科院李_硕博 :IDA用来二进制分析还是很强大的 .lib程序是不是很容易分析出源码? 这个得看编译选项是怎么设置的 如果没混淆 没太过优化 大体能恢复源码的80%左右 剩下20%和源码等价 但是可能会很混乱 用IDA就可以 正常是汇编 你可以选择反汇编 那就显示C语言 但这个C语言只是翻译过来的 所以不一...
ida可以将汇编编译成C语言吗,IDA反汇编学习-转此博文包含图片
weixin_30916461的博客
05-19 5867
dll文件如何反汇编成源码,C++语言编写手上有个dll文件,用C++写的。现在想看到源码,网上查了资料,说最多可...动态调试,你加载DLL文件,然后跟进去。这种方法适合逆向DLL中某个特定的导出函数代码。静态反汇编分析,那也挺累的。 看你反汇编的意图,最好用Lord Pe 加载一下,查看一下导出表中的函数,使用第一种方法。。用IDA反汇编后变成的C代码出现 *(_DWORD *)a是什么意思咯...
ida反编译成c语言可以编译,IDA Pro逆向实战之Crackme(简单篇)
weixin_34620658的博客
05-20 5479
今天手闲的很,没事就拿出了以前没解决的逆向题来一下,具体的源程序在附件里,废话少说,直接上菜:0. 源程序运行效果(输入不对的,直接退出):Exeinfo PE 查壳:看到是无壳的小程序,看来练手一定会很容易!!!那接下来直接载入到IDA中看看程序执行逻辑吧!IDA Pro 查看程序执行逻辑这里截的是一张白图,不过对于分析程序流程已经足够了,顺便解释下图里的红线是False分支执行的,绿线是...
IDA PRO 反编译
09-03
IDA Pro是一款非常专业的可编程、可扩展的交互式多处理器反汇编程序。它是逆向工程师、安全分析人员和CTF竞赛选手常用的工具之一。IDA Pro支持多种CPU指令集,包括Intel x86、x64、MIPS、PowerPC、ARM、Z80、68000、c8051等等。它使用数据类型信息和派生的变量和函数名称来注释生成的反汇编代码,并提供符号化信息。IDA Pro还支持Python插件,用户可以利用插件来提供更多的功能,大大减少工作量。它还采用了先进的逆向工程技术,能够帮助用户反向编译源代码,并解决反编译相关问题。总的来说,IDA Pro反编译领域中不可或缺的工具之一。 要安装和使用IDA Pro,您可以按照以下步骤操作: 1. 在官方网站下载IDA Pro软件包并解压缩。 2. 运行"IDAProHelper.exe"程序进行绿化。 3. 运行主程序,选择适合您的操作系统的版本。 4. 新建一个空程序,然后加载要逆向的文件。 5. 可以使用工具栏和导航栏浏览和分析加载文件的反汇编代码。 6. 您还可以打开其他窗口,如Hex_View窗口、Exports窗口和functions窗口,以获取更多的信息。 7. 最后,记得保存您的工作。 以上是关于IDA Pro反编译工具的简要介绍和安装使用步骤。希望对您有所帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [使用ida pro反编译,要注意类型转换](https://blog.youkuaiyun.com/zhangzhm/article/details/93861843)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [反编汇ida pro 7.5](https://blog.youkuaiyun.com/weixin_45078818/article/details/111359136)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值