工具的使用
自己的记性不太好,所以做了一个笔记,总结了一下逆向常用工具IDA和OD的使用,用来平时的翻阅,也希望可以帮助到大家。
第一章 IDA使用介绍
简介
空格:切换代码窗口的显示方式(在图形窗口与文本窗口之间切换)
窗口介绍:“View”–“open subviews”, 可以看到IDA的各个子窗口
常用快捷键:
![在这里插入图片描述](https://ucc.alicdn.com/images/user-upload-01/20210303191810237.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2MzYzMjQ5,size_16,color_FFFFFF,t_70
基本使用:
1.静态分析功能
2.函数控制流图显示
3.F5 Hex-Rays插件
4.变量类型指定 快捷键y
5.变量重命名 点住这个变量 快捷键n
显示设置
可在“Options”-“Gemeral”-"Disassembly"窗口中设置反汇编的显示内容模式
代码定位:
1、交叉引用
函数调用关系
字符串引用关系
2、字符串定位
提取所有字符串shift+f12
查看交叉引用 :快捷键X
栈帧分析
双击任意局部变量将进入栈帧窗口视图
结构体分析:
IDA可对结构体进行自定义并对结构体数据进行解析, 以增强程序的可读性,步骤如下:
1、Shift + F1:打开本地类型;
2、insert:插入自定义的结构体;这里可以直接复制c语言定义;
3、Shift + F9:打开结构体;
4、Insert:添加上面创建的结构体;
5、选取相应数据,Alt + Q 将其上面的结构体进行解析。
程序Patch:
- Patch指修改程序中的指令达到一些目的
绕过反调试
绕过验证
其他 - 将光标置于某条指令
- Edit -> Patch Program -> Change bytes来修改代码,如果这里你安装了keypatch插件,那么是可以直接通过修改汇编指令来实现程序Patch的。
- 应用Path:Edit -> Patch Program -> Apply patch to input file
程序与代码的转换:
- 若某个函数未被引用,可能无法被IDA识别
- 导航窗
- 手动定位,识别为函数:快捷键 p
- 将代码转换为数据:快捷键 d
- 将数据转换为代码:快捷键 c
通常用来清除花指令等
IDA没有撤销功能,慎重转换
IDA的动态调试:
IDA也提供了动态调试的功能,调试步骤如下:
- Debugger -> Select debugger
选择local windows debugger - F2对入口点处或者其他地方下断点
- Debugger -> Start process 启动调试
- 优点
可以在F5的窗格中单步跟踪伪代码 - 缺点
调试功能没有OllyDBG等强大,没有反调试、dump、硬件断点、内存断点等功能。
IDA安装插件
插件安装:复制相应文件到ida安装目录plugin文件夹
- Hex-Rays Decompiler:F5插件
支持x86与x64
6.8支持arm
6.9支持arm64
6.95支持PowerPC - IDAPython:IDC脚本的Python接口
IDA其他常用的一些插件
IDA FLIRT Signature Database – 用于识别静态编译的可执行文件中的库函数
Find Crypt – 寻找常用加密算法中的常数(需要安装 yara-python)
IDA signsrch – 寻找二进制文件所使用的加密、压缩算法
Ponce – 污点分析和符号化执行工具
snowman decompiler – C/C++反汇编插件(F3 进行反汇编)
CodeXplorer – 自动类型重建以及对象浏览(C++)(jump to disasm)
IDA Ref – 汇编指令注释(支持arm,x86,mips)
auto re – 函数自动重命名
nao – dead code 清除HexRaysPyTools – 类/结构体创建和虚函数表检测
DIE – 动态调试增强工具,保存函数调用上下文信息
sk3wldbg – IDA 动态调试器,支持多平台
idaemu – 模拟代码执行(支持X86、ARM平台)
Diaphora – 程序差异比较
Keypatch – 基于 Keystone 的 Patch 二进制文件插件
FRIEND – 哪里不会点哪里,提升汇编格式的可读性、提供指令、寄存器的文档等
SimplifyGraph – 简化复杂的函数流程图
bincat – 静态二进制代码分析工具包,2017 Hex-Rays 插件第一名
golang_loader_assist – Golang编译的二进制文件分析助手
![[re入门]IDA和OD的基本使用(持续更新)(下)](https://ucc.alicdn.com/pic/developer-ecology/cbe85ae7a27e417c83ad845818a845f3.png?x-oss-process=image/resize,h_160,m_lfit)