IDA PRO 实践02 - 静态逆向分析入门

最新推荐文章于 2026-05-20 09:57:09 发布
原创 最新推荐文章于 2026-05-20 09:57:09 发布 · 1.3k 阅读 · 20
标签
#前端 #开发语言 #网络 #安全

一般来说,逆向分析并不是对那些庞大的程序进行完整的逆向,只是分析特定位置的一个或几个函数。

首先从静态分析 CRUEHEAD’s CRACKME 这个程序开始。

程序加载

打开菜单上的 VIEW-OPEN SUBVIEW-SEGMENTS,可以看到已经自动加载的程序区块。

HEADER段是没有加载的,IDA仅仅自动加载了一些可执行的区段。想要加载HEADER段需要手动加载。

在区段的名称(NAME)一列后面,是区段起始(START)和终点(END)的地址。RWX 这一列显示初始状态下这个区段是否有读 READ(R)、写 WRITE(W)以及执行 EXECUTION(X)权限。

后面的 D 和 L 两列分别对应于 DEBUGGER(调试器)和 LOADER(加载器)。

第一列(D)为空,只有程序在调试模式时才会填充已经加载的区段。L 这一列显示了加载器创建的区段。其他列的内容不是那么重要。

在这个例子里面,加载 HEADER 区段也不是那么有意义。依然介绍一下如何加载 HEADER 段。

重新加载 CRACKME.exe 程序。

选择手动加载(MANUAL LOAD),点击 OK。

按照程序提示,输入加载的基址:

在Windows操作系统中,程序的加载基址通常取决于程序的位数和其他因素。

  1. 32位程序:默认的加载基址通常是0x00400000。这个地址是Windows为32位应用程序预留的空间。

  2. 64位程序:64位应用程序的默认加载基址是0x0000000140000000。这个地址是Windows为64位应用程序预留的空间。

不过,实际加载基址可能会因为地址空间随机化(ASLR)等安全机制而有所不同。系统可能会在运行时选择不同的地址来加载程序,以提高安全性

在接下来弹出的每一个对话框上点击 OK 加载所有区段:

完成之后,可以看到:

通常这是操作不必要的,有时候考虑进来会更好。

切到反汇编视图,跳转到 0x400000 位置,也就是程序起始位置:

HEADER:00400000                               ;
HEADER:00400000                               ; +-------------------------------------------------------------------------+
HEADER:00400000                               ; |      This file was generated by The Interactive Disassembler (IDA)      |
HEADER:00400000                               ; |           Copyright (c) 2022 Hex-Rays, <support@hex-rays.com>           |
HEADER:00400000                               ; +-------------------------------------------------------------------------+
HEADER:00400000                               ;
HEADER:00400000                               ; Input SHA256 : 0C7CDFDB6D4C8876E9C5BAE906FCF1CBF174F019EF45D518954885856501A0BE
HEADER:00400000                               ; Input MD5    : 66F573036F8B99863D75743EFF84F15D
HEADER:00400000                               ; Input CRC32  : 503D64C9
HEADER:00400000
HEADER:00400000                     
最低0.47元/天 解锁文章
反编译工具:IDA Pro,用于分析恶意软件的代码逻辑和行为
百态·数智思维 | 聚焦大数据、量化与未来AI
04-14 1883
综上所述,IDA Pro作为一款功能强大的逆向工程工具,具有直观的图形化界面、丰富的功能和插件支持,以及广泛的应用领域,是分析恶意软件和进行逆向工程任务的首选工具之一。:IDA Pro提供了强大的逆向工程功能,可以将目标文件反汇编为汇编代码,并提供高级的反汇编特性,使得分析者能够深入理解恶意软件的代码逻辑和执行流程。:IDA Pro开发团队不断更新和改进软件,增加新的特性和改进现有功能,以满足用户对于逆向工程和恶意软件分析的不断变化的需求。
跟着王哥学逆向——工具篇(IDA Pro)
qq_52642385的博客
01-16 5万+
交互式反汇编器专业版(Interactive Disassembler Professional)常称为 IDA ProIDA 是一种递归下降反汇编器,是个逆向分析的神器之一,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,是安全分析人士不可缺少的利器!IDA是Hex-Rays公司的旗舰产品,公司位于比利时,能写出这种软件的人都是超级大牛。这里以BUUCTF里面一道easyre题来展开对IDA的使用说明IDA的主窗口就如下图所示。
IDA Pro 7.0 新手入门:从打开文件到看懂第一个窗口,保姆级避坑指南
最新发布
weixin_28688385的博客
05-20 72
本文为IDA Pro 7.0新手提供详细的入门指南,从文件加载到核心窗口操作,帮助用户快速掌握这款强大的反汇编工具。文章涵盖了图形视图、列表视图、Strings窗口等关键功能的使用技巧,以及函数分析和结构体识别的实用方法,适合逆向工程初学者快速上手。
世界顶级的交互式反汇编工具——ida的使用详解
m0_57485346的博客
11-03 2万+
世界顶级的交互式反汇编工具——ida的使用详解
IDA Pro 反汇编器使用详解,适合逆向新人和老人的权威指南(一)
Sciurdae的博客
10-08 2万+
IDA Pro 反汇编器使用详解,适合逆向新人和老人的权威指南(一)
零基础IDAPro的基本使用
weixin_51758733的博客
05-21 5854
零基础IDAPro的基本使用
探秘 IDA Pro:从入门到实战破解
m0_57836225的博客
03-03 4507
通过这次对 IDA Pro 的介绍和实战破解程序,相信大家已经感受到它的强大功能。IDA Pro 不仅能帮助我们深入了解程序的内部结构和运行机制,还能用于软件安全分析、漏洞挖掘等领域。当然,逆向工程是一个复杂且不断发展的领域,需要大家不断学习和实践,才能掌握更多技巧和方法。希望大家课后可以利用文中提到的实验室平台,多进行实操练习,提升自己的技术水平。如果在学习过程中有任何疑问,欢迎一起交流探讨。
IDA PRO 02 - 静态逆向分析基础02
a5right的博客
12-01 3084
之前我们的例子还没有分析完成,由于 算法分析部分会单独成一个系列,所以就不继续了,该系列的核心还是在于IDA的使用。本篇再介绍一些其他的IDA使用技巧,有些技巧在特定的地方会很好用。
逆向静态分析工具——IDA初学者笔记(IDA Pro使用教程)
热门推荐
iqiqiya的博客
09-17 10万+
转载自:https://www.cnblogs.com/lsgxeva/p/8947824.html 逆向静态分析工具——IDA初学者笔记 //****************************************************************************** //IDA初学者笔记 //********************************...
IDA PRO 实践03 - 函数栈逆向分析
a5right的博客
11-06 1259
使用 IDA 打开 HOLA_REVERSER.exe 文件,IDA 会提示我们是否加载符号文件。由于这个程序不是我们写的,所以我们没有符号文件。点击否即可。IDA 7.7 已经很聪明了,打开该文件后,自动定位到了 main 函数。这个程序很简单,我们只需要分析 main 函数即可。
[安卓逆向]IDA Pro的认识及使用
杰孑的博客
11-15 7363
[安卓逆向]IDA Pro的认识及使用:软件介绍、目录结构、启动页面、文件加载、界面介绍、常用快捷键、操作概述、函数操作、数据类型操作、导航操作、关闭数据库。
[笔记]逆向工具IDA Pro之简单使用
二次元怪兽的博客
05-21 7657
IDA Pro 是一款静态反编译二二进制的软件,常用于破解和逆向分析软件。总之,ida有很多功能和快捷键需要我们在使用中慢慢熟悉。
PWN工具之IDA Pro
CYXMDTT的博客
10-22 1887
由于IDA不提供撤销的功能,如果你不小心按到某个键,导致ida数据库发生了改变,就得重新来过,所以要记得在经常操作的时候,加上快照:file-->take database snapshot。这个功能对于新手来说非常友好,在刚刚初学汇编的时候, 难免遇到几个不常用的蛇皮汇编指令,就得自己一个个去查,很麻烦,开启了自动注释的功能后,IDA就可以直接告诉你汇编指令的意思。在操作IDA的时候,经常会遇到需要创建数组的情况,尤其是为了能方便我们看字符串的时候,创建数组显得非常必要,以下我随便找了个数据来创建数组。
逆向工具——IDA Pro的使用,从零基础到精通,收藏这篇就够了!
yy1715713348的博客
04-08 3324
交互式反汇编器专业版 (Interactive Disassembler Professional),江湖人称IDA Pro。这货是个递归下降反汇编器,在逆向分析界那是响当当的存在。它能分析 x86、x64、ARM、MIPS、Java、.NET 等等各种平台的代码,简直是安全分析师的秘密武器!IDA 是 Hex-Rays 公司的王牌产品,这家公司在比利时,能写出这种神器的绝对是大佬中的大佬。左边这块就是函数窗口,所有函数都在这儿列着。拿到一个题目,一般从main函数开始,但main。
PE文件分段(.rdata/.data/.text)
骑砍战团&霸主MOD开发
12-10 1851
程序内存结构主要分为五个部分:text段存储函数逻辑的汇编代码;rdata段存放只读的全局变量和常量;data段保存未初始化的全局变量;运行时栈在函数调用时动态创建;运行时堆则在对象创建时分配内存。后两者(栈和堆)都是独立于PE文件的内存区域,在程序运行时动态分配使用。
IDA工具各个功能总结
墨痕诉清风的博客
02-14 1万+
生成文件:保存后生成的文件 id0:二叉树数据库 id1:文件包含描述每个程序字节的标记 nam:包含IDA NAME窗口的数据库 til:本地数据库有关信息   导航带颜色   常用菜单 ESC键:后退键(避免在窗口标题栏使用,退出窗口)   绿色箭头为YES,红色箭头为NO,蓝色箭头为下一个立即执行的块,拖动线可以改变连接路径。恢复源图形,右键鼠标菜单,点击布局图表。...
判断文件类型的工具_五,网络安全IDA Pro反汇编工具初识及逆向工程解密实战
weixin_39806779的博客
10-24 1209
一.IDA Pro工具简介及初识1.IDA Pro简介IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro具有强大的功能,但操作较为复杂,需要储备很多知识,同时,它具有交互式、...
IDA详细使用教程,适合逆向新手的实验报告
qq_53058639的博客
05-28 8480
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。一、软件介绍IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA
IDA Pro反编译器的使用
小李的便利店
08-11 3732
IDA Pro反编译器的使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二手的程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值